[发明专利]应用程序沙箱反逃逸方法和电子设备

权利要求书

1.一种应用程序沙箱反逃逸方法，其包括：

获取来自可疑程序的API调用；

判断所述API调用是否为预定API调用；

如是，则拦截该API调用，并

向该API调用返回一个伪造的API返回值，以绕过可疑程序对虚拟环境进行侦测，过滤该可疑程序对沙箱环境的检测行为；

如果所述API调用为非预定API调用，则执行所述API调用并返回正常的API返回值；

其中，所述预定API调用为系统API调用，包括用于实现以下功能的API中的多个：用于打开相关注册表路径过滤的NtCreateKey、用于查询注册表过滤的NtQueryValueKey、用于重命名注册表过滤的NtRenameKey、用于替换注册表键过滤的NtReplaceKey、用于修改注册表过滤的NtSetValueKey、用于打开文件过滤的NtCreateFile、用于查询窗口过滤的NtUserQueryWindow、用于查找窗口扩展函数过滤的NtUserFindWindowEx、用于打开注册表键过滤的NtOpenKey、用于打开进程过滤的NtOpenProcess、用于查找进程过滤的NtGetNextProcess、用于打开互斥过滤的NtCreateMutant、用于查询文件属性过滤的NtQueryAttributesFile、用于打开文件过滤的NtOpenFile、用于查询系统信息过滤的NtQuerySystemInformation、用于查询进程相关信息过滤的NtQueryProcessInformation、用于查询文件和目录过滤的NtQueryDirectoryFile、用于查询文件卷信息过滤的NtQueryVolumeInformationFile、用于向指定设备发送控制码获取信息过滤的NtDeviceIoControlFile、用于打开指定驱动的符号链接过滤的NtCreateSymbolicLinkObject。

2.根据权利要求1所述的方法，其中，所述判断所述API调用是否为预定API调用；如是，则拦截该API调用，并向该API调用返回一个伪造的API返回值包括：判断所述API调用用于查询磁盘容量的预定API调用；

如是，则返回一伪造的磁盘容量值。

3.一种电子设备，所述电子设备包括：

处理器，其配置为获取来自可疑程序的API调用，并判断所述API调用是否为预定API调用；如是，则拦截该API调用，并向该API调用返回一个伪造的API返回值，以绕过可疑程序对虚拟环境进行侦测，过滤该可疑程序对沙箱环境的检测行为；如果所述API调用为非预定API调用，则执行所述API调用并返回正常的API返回值；

其中，所述预定API调用为系统API调用，包括用于实现以下功能的API中的多个：用于打开相关注册表路径过滤的NtCreateKey、用于查询注册表过滤的NtQueryValueKey、用于重命名注册表过滤的NtRenameKey、用于替换注册表键过滤的NtReplaceKey、用于修改注册表过滤的NtSetValueKey、用于打开文件过滤的NtCreateFile、用于查询窗口过滤的NtUserQueryWindow、用于查找窗口扩展函数过滤的NtUserFindWindowEx、用于打开注册表键过滤的NtOpenKey、用于打开进程过滤的NtOpenProcess、用于查找进程过滤的NtGetNextProcess、用于打开互斥过滤的NtCreateMutant、用于查询文件属性过滤的NtQueryAttributesFile、用于打开文件过滤的NtOpenFile、用于查询系统信息过滤的NtQuerySystemInformation、用于查询进程相关信息过滤的NtQueryProcessInformation、用于查询文件和目录过滤的NtQueryDirectoryFile、用于查询文件卷信息过滤的NtQueryVolumeInformationFile、用于向指定设备发送控制码获取信息过滤的NtDeviceIoControlFile、用于打开指定驱动的符号链接过滤的NtCreateSymbolicLinkObject。

4.根据权利要求3所述的电子设备，其中，所述处理器判断所述API调用是否为预定API调用；如是，则拦截该API调用，并向该API调用返回一个伪造的API返回值包括：

判断所述API调用用于查询磁盘容量的预定API调用；

如是，则返回一伪造的磁盘容量值。