[发明专利]应用程序沙箱反逃逸方法和电子设备

说明书

本发明公开了一种应用程序沙箱反逃逸方法和电子设备，其中所述方法包括：获取来自可疑程序的API调用；判断所述API调用是否为预定API调用；如是，则拦截预定API调用，并向该API调用返回一个伪造的API返回值，以过滤该可疑程序对沙箱环境的检测行为。本发明便可绕过可疑程序对该虚拟环境进行侦测和保证改可疑程序的正常执行，并通过伪造的返回值使可疑程序执行真正的恶意功能，以便对恶意样本进行更详细的分析，从而产出更多的威胁情报、提升恶意样本的检测能力，从而帮助企业识别该恶意程序和并且帮助分析人员更便捷的理解样本的行为。

技术领域

本发明涉及计算机安全技术领域，特别涉及一种应用程序沙箱反逃逸方法和电子设备。

背景技术

应用程序沙箱是一种按照安全策略限制程序行为的执行环境。早期主要用于测试可疑软件等，比如黑客们为了试用某种病毒或者不安全产品，往往可以将它们在沙箱环境中运行。

经典的沙箱系统的实现途径一般是通过拦截系统调用，监视程序行为，然后依据用户定义的策略来控制和限制程序对计算机资源的使用，比如改写注册表，读写磁盘等。

现有的沙箱反逃逸技术普遍的在应用层做拦截和通过修改已知特征的方式一对一的针对每一种逃逸技术做对应的处理，既费时覆盖范围又窄。

发明内容

有鉴于现有的沙箱反逃逸技术既费时覆盖范围又窄的问题，本发明提供了一种应用程序沙箱反逃逸方法和电子设备。

为了解决上述技术问题，本发明实施例提供了如下的技术方案。

一种应用程序沙箱反逃逸方法，其包括：

获取来自可疑程序的API调用；

判断所述API调用是否为预定API调用；

如是，则拦截该API调用，并向该API调用返回一个伪造的API返回值，以过滤该可疑程序对沙箱环境的检测行为。

优选地，如果所述API调用为非预定API调用，则执行所述API调用并返回正常的API返回值。

优选地，所述预定API调用包括用于实现以下功能的API中的一个或多个：打开相关注册表路径过滤、查询注册表过滤、重命名注册表过滤、替换注册表键过滤、修改注册表过滤、打开文件过滤、查询窗口过滤、查找窗口扩展函数过滤、打开注册表键过滤、打开进程过滤、查找进程过滤、打开互斥过滤、查询文件属性过滤、打开文件过滤、查询系统信息过滤、查询进程相关信息过滤、查询文件和目录过滤、查询文件卷信息过滤、向指定设备发送控制码获取信息过滤、打开指定驱动的符号链接过滤。

优选地，所述预定API调用为系统API调用。

优选地，所述判断所述API调用是否为预定API调用；如是，则拦截该API调用，并向该API调用返回一个伪造的API返回值包括：判断所述API调用用于查询磁盘容量的预定API调用；

如是，则返回一伪造的磁盘容量值。

另外，本发明实施例还提供了一种电子设备，该电子设备可以应用如上述实施例所述的一种应用程序沙箱反逃逸方法，并且所述电子设备包括：

处理器，其配置为获取来自可疑程序的API调用，并判断所述API调用是否为预定API调用；如是，则拦截该API调用，并向该API调用返回一个伪造的API返回值，以过滤该可疑程序对沙箱环境的检测行为。

优选地，所述处理器还配置为如果所述API调用为非预定API调用，则执行所述API调用并返回正常的API返回值。