[发明专利]沙箱内程序动态执行过程中的操作文件提取方法及装置

说明书

本发明实施例提供一种沙箱内程序动态执行过程中的操作文件提取方法及装置，方法包括：在沙箱的虚拟操作系统层设置待分析的目标恶意代码样本程序；在沙箱的虚拟硬件层设置分析程序；在检测到目标恶意代码样本程序在虚拟操作系统层运行时，利用分析程序分析样本程序对虚拟磁盘的读写操作，并根据样本程序对虚拟磁盘的读写操作，提取样本程序操作的文件。相比于现有技术中分析程序和目标恶意代码样本程序均设置在虚拟操作系统层的方式，本发明实施例这种将分析程序设置在虚拟硬件层的方式，可以避免样本程序对操作文件提取过程的干扰，本发明实施例可以准确、完整地提取样本程序操作的文件。

技术领域

本发明涉及计算机技术领域，尤其涉及一种沙箱内程序动态执行过程中的操作文件提取方法及装置。

背景技术

Sandbox(沙箱)是一个虚拟系统，允许在沙盘环境中运行浏览器或其他程序，因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境，在其内部运行的程序并不能对硬盘产生永久性的影响。其为一个独立的虚拟环境，可以用来测试不受信任的应用程序或上网行为。沙箱是一种按照安全策略限制程序行为的执行环境。早期主要用于测试可疑软件等，比如黑客们为了试用某种病毒或者不安全产品，往往可以将它们在沙箱环境中运行。经典的沙箱系统的实现途径一般是通过拦截系统调用，监视程序行为，然后依据用户定义的策略来控制和限制程序对计算机资源的使用。

现有技术中，沙箱在对样本程序操作的文件进行提取时，在虚拟操作系统层中设置分析程序，然后利用该分析程序对样本程序的文件操作过程进行分析，以提取样本程序操作的文件，这种文件提取方式存在如下问题：

文件提取过程容易被样本程序干扰，导致出现文件提取失败或提取不全的问题。例如，样本程序通过独占模式打开并读写某个文件时，分析程序就无法同时去读取这个文件，自然就提取不出这个文件中的内容。

发明内容

针对现有技术中的问题，本发明实施例提供一种沙箱内程序动态执行过程中的操作文件提取方法及装置。

第一方面，本发明实施例提供了一种沙箱内程序动态执行过程中的操作文件提取方法，包括：

在沙箱的虚拟操作系统层设置待分析的目标恶意代码样本程序；

在沙箱的虚拟硬件层设置分析程序；其中，所述分析程序用于在所述目标恶意代码样本程序运行过程中对所述目标恶意代码样本程序操作的文件进行分析；

在检测到所述目标恶意代码样本程序在所述虚拟操作系统层运行时，利用所述分析程序分析所述目标恶意代码样本程序对虚拟磁盘的读写操作，并根据所述目标恶意代码样本程序对虚拟磁盘的读写操作，提取所述目标恶意代码样本程序操作的文件。

进一步地，所述利用所述分析程序分析所述目标恶意代码样本程序对虚拟磁盘的读写操作，并根据所述目标恶意代码样本程序对虚拟磁盘的读写操作，提取所述目标恶意代码样本程序操作的文件，包括：

当所述分析程序经分析确认所述目标恶意代码样本程序通过调用第一底层API接口对虚拟磁盘进行读操作时，通过分析调用所述第一底层API接口的调用参数获取所述目标恶意代码样本程序读取的文件的第一文件路径信息和第一文件偏移信息，并根据所述第一文件路径信息将所述读取的文件数据转出存储以及根据所述第一文件偏移信息在宿主机上重组所述读取的文件；

当所述分析程序经分析确认所述目标恶意代码样本程序通过调用第二底层API接口对虚拟磁盘进行写操作时，通过分析调用所述第二底层API接口的调用参数获取所述目标恶意代码样本程序向所述虚拟磁盘写入的文件的第二文件路径信息和第二文件偏移信息，并根据所述第二文件路径信息将写入的文件数据转出存储以及根据所述第二文件偏移信息在宿主机上重组所述写入的文件。

进一步地，所述在沙箱的虚拟操作系统层设置待分析的目标恶意代码样本程序，包括：

将待分析的目标恶意代码样本程序预先安装在沙箱的虚拟操作系统中；