[发明专利]沙箱内程序动态执行过程中的操作文件提取方法及装置

权利要求书

1.一种沙箱内程序动态执行过程中的操作文件提取方法，其特征在于，包括：

在沙箱的虚拟操作系统层设置待分析的目标恶意代码样本程序；

在沙箱的虚拟硬件层设置分析程序；其中，所述分析程序用于在所述目标恶意代码样本程序运行过程中对所述目标恶意代码样本程序操作的文件进行分析；

在检测到所述目标恶意代码样本程序在所述虚拟操作系统层运行时，利用所述分析程序分析所述目标恶意代码样本程序对虚拟磁盘的读写操作，并根据所述目标恶意代码样本程序对虚拟磁盘的读写操作，提取所述目标恶意代码样本程序操作的文件；

其中，所述利用所述分析程序分析所述目标恶意代码样本程序对虚拟磁盘的读写操作，并根据所述目标恶意代码样本程序对虚拟磁盘的读写操作，提取所述目标恶意代码样本程序操作的文件，包括：

当所述分析程序经分析确认所述目标恶意代码样本程序通过调用第一底层API接口对虚拟磁盘进行读操作时，通过分析调用所述第一底层API接口的调用参数获取所述目标恶意代码样本程序读取的文件的第一文件路径信息和第一文件偏移信息，并根据所述第一文件路径信息将所述读取的文件数据转出存储以及根据所述第一文件偏移信息在宿主机上重组所述读取的文件；

当所述分析程序经分析确认所述目标恶意代码样本程序通过调用第二底层API接口对虚拟磁盘进行写操作时，通过分析调用所述第二底层API接口的调用参数获取所述目标恶意代码样本程序向所述虚拟磁盘写入的文件的第二文件路径信息和第二文件偏移信息，并根据所述第二文件路径信息将写入的文件数据转出存储以及根据所述第二文件偏移信息在宿主机上重组所述写入的文件。

2.根据权利要求1所述的沙箱内程序动态执行过程中的操作文件提取方法，其特征在于，所述在沙箱的虚拟操作系统层设置待分析的目标恶意代码样本程序，包括：

将待分析的目标恶意代码样本程序预先安装在沙箱的虚拟操作系统中；

或，

在需要对待分析的目标恶意代码样本程序进行分析时，将所述目标恶意代码样本程序通过网络传输或物理介质传输的方式发送至所述虚拟操作系统中。

3.根据权利要求1所述的沙箱内程序动态执行过程中的操作文件提取方法，其特征在于，所述在沙箱的虚拟硬件层设置分析程序，包括：

在沙箱的虚拟硬件层安装分析程序，用于拦截并提取被所述目标恶意代码样本程序操作的文件。

4.一种沙箱内程序动态执行过程中的操作文件提取装置，其特征在于，包括：

第一设置模块，用于在沙箱的虚拟操作系统层设置待分析的目标恶意代码样本程序；

第二设置模块，用于在沙箱的虚拟硬件层设置分析程序；其中，所述分析程序用于在所述目标恶意代码样本程序运行过程中对所述目标恶意代码样本程序操作的文件进行分析；

提取模块，用于在检测到所述目标恶意代码样本程序在所述虚拟操作系统层运行时，利用所述分析程序分析所述目标恶意代码样本程序对虚拟磁盘的读写操作，并根据所述目标恶意代码样本程序对虚拟磁盘的读写操作，提取所述目标恶意代码样本程序操作的文件；

其中，所述提取模块在利用所述分析程序分析所述目标恶意代码样本程序对虚拟磁盘的读写操作，并根据所述目标恶意代码样本程序对虚拟磁盘的读写操作，提取所述目标恶意代码样本程序操作的文件时，具体用于：

当所述分析程序经分析确认所述目标恶意代码样本程序通过调用第一底层API接口对虚拟磁盘进行读操作时，通过分析调用所述第一底层API接口的调用参数获取所述目标恶意代码样本程序读取的文件的第一文件路径信息和第一文件偏移信息，并根据所述第一文件路径信息将所述读取的文件数据转出存储以及根据所述第一文件偏移信息在宿主机上重组所述读取的文件；

当所述分析程序经分析确认所述目标恶意代码样本程序通过调用第二底层API接口对虚拟磁盘进行写操作时，通过分析调用所述第二底层API接口的调用参数获取所述目标恶意代码样本程序向所述虚拟磁盘写入的文件的第二文件路径信息和第二文件偏移信息，并根据所述第二文件路径信息将写入的文件数据转出存储以及根据所述第二文件偏移信息在宿主机上重组所述写入的文件。