[发明专利]基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法有效
申请号: | 201510455976.2 | 申请日: | 2015-07-29 |
公开(公告)号: | CN105117645B | 公开(公告)日: | 2018-03-06 |
发明(设计)人: | 李凯;范渊;吴卓群;寇大强 | 申请(专利权)人: | 杭州安恒信息技术有限公司 |
主分类号: | G06F21/53 | 分类号: | G06F21/53;G06F21/56 |
代理公司: | 杭州中成专利事务所有限公司33212 | 代理人: | 周世骏 |
地址: | 310051 浙江省杭*** | 国省代码: | 浙江;33 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 基于 文件系统 过滤 驱动 实现 虚拟机 多样 运行 方法 | ||
1.基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法,用于利用沙箱虚拟机,对多个可疑文件进行并发检测,其特征在于,所述基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法具体包括下述步骤:
步骤A:沙箱虚拟机中的操作系统提供回调接口和开放式可疑文件的提交接口;
所述提交接口用以外部任务调度程序向沙箱虚拟机提交可疑文件,且提交接口限定沙箱虚拟机中能并发运行的可疑文件的最大数量;
所述回调接口用以向外部任务调度程序返回可疑文件被捕获的行为信息,行为信息包括但不限于可疑文件调用操作系统的API函数及相关参数;
步骤B:在沙箱虚拟机的操作系统中,注册监控驱动;监控驱动用于对指定进程ID及其所有子进程的文件操作、注册表操作、内核对象进行重定向,以及对消息进行隔离,对进程进行隐藏,使可疑文件的运行空间保持独占和相对隔离,从而保证每个可疑文件的运行轨迹不受其他可疑文件所产生的进程的影响;
所述监控驱动,是在Windows下,使用文件过滤驱动框架编写的程序,用于实现文件重定向、注册表重定向、内核对象重定向、消息隔离、进程隐藏功能,即监控驱动是基于操作系统的文件系统过滤驱动的Windows驱动程序;
步骤C:当沙箱虚拟机的操作系统开始模拟运行多个可疑文件时,为保证每个可疑文件的运行截屏中,不出现其他可疑文件的运行信息或界面,会在每个可疑文件模拟运行时,为每个可疑文件分配专属桌面资源;
在专属桌面中,先以挂起方式执行可疑文件,注入监控程序用以捕获可疑文件的行为信息,把进程ID传入监控驱动中,用以文件、注册表、内核对象重定向以及消息隔离、进程隐藏操作;
其中,所述监控程序,能注入程序进程空间,并通过HOOK方式获取可疑文件调用操作系统的API函数及相关参数行为信息;
步骤D:可疑文件执行完成后,通过回调接口,返回捕获到的上述可疑文件的行为信息,并清理重定向的文件、注册表路径、内核对象目录,销毁所述可疑文件的专属桌面资源;返回的行为信息包括但不限于可疑文件调用操作系统的API函数及相关参数。
2.根据权利要求1所述的基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法,其特征在于,所述步骤A中,沙箱虚拟机对是否已达多样本模拟运行的上限进行判断并处理,具体通过下述方式实现:
沙箱虚拟机中的初始可疑文件运行数量为0,提交接口每接收一个可疑文件并在可疑文件开始模拟运行时,可疑文件运行数量加1,每个可疑文件完成模拟运行且回调接口返回行为信息后,可疑文件运行数量减1;
当可疑文件运行数量,达到提交接口中限定的沙箱虚拟机中能并发运行的可疑文件的最大数量时,回调接口能向提交可疑文件的外部任务调度程序返回信息,通知外部任务调度程序稍后继续提交。
3.根据权利要求1所述的基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法,其特征在于,所述监控驱动对指定进程的文件操作重定向,通过下述方式实现:
通过将监控驱动插入到沙箱虚拟机中Windows系统IO管理器的消息链中,拦截指定进程的所有I/O请求包中关于对文件的创建、读、写的操作,来实现对指定进程产生的文件数据进行重定向。
4.根据权利要求1所述的基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法,其特征在于,所述监控驱动对指定进程的注册表重定向,采用框架回调方式或者API HOOK的方式进行处理,具体通过下述方法实现:
在进行监控驱动初始化时,先创建一个HIVE格式的文件,然后将HIVE格式的文件挂载到注册表内;然后在沙箱虚拟机操作系统环境中注册监控驱动,初始化完成后,创建随机生成的重定向文件目录,初始化随机重定向注册表路径。
5.根据权利要求1所述的基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法,其特征在于,所述监控驱动对指定进程的内核对象重定向,采用模拟内核对象命名空间的方式进行处理,具体通过下述方式实现:
通过监控和记录可疑文件模拟运行后的进程,为所在进程模拟生成一个与沙箱虚拟机中的操作系统相仿的内核对象命名空间,并由内核对象管理器进行管理;然后该可疑文件运行过程中所产生的所有内核对象操作,均在内核对象命名空间中进行;所述内核对象包括互斥体、突变体、信号量、事件和定时器。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术有限公司,未经杭州安恒信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201510455976.2/1.html,转载请声明来源钻瓜专利网。
- 上一篇:基于计算机服务器废热利用的热水系统及方法
- 下一篇:一种棉织物的印染工艺