[发明专利]基于修改沙箱环境防止恶意代码识别沙箱的方法及系统

说明书

技术领域

本发明涉及计算机网络安全领域，特别涉及一种基于修改沙箱环境防止恶意代码识别沙箱的方法及系统。

背景技术

随着计算机技术的发展与普及，计算机应用已经全面渗透到人们的工作与生活中，成为人们不可缺少的重要工具和家庭娱乐设备。随着计算机的广泛使用同时也会产生相应的计算机安全问题。面对金钱的诱惑，一些黑客会利用计算机安全漏洞，通过相应的恶意程序对用户的计算机信息进行窃取并对计算机系统进行破坏，给广大计算机用户造成了巨大的经济损失。为了检测相关的恶意程序，计算机安全研究人员开发了相应的查毒杀毒工具。但是随着识别沙箱环境的技术日益成熟，则恶意程序会多条件判断识别样本是否运行在沙箱环境下，从而躲避查杀工具的检测。在沙箱环境下，样本中相关的恶意代码则不执行，其主要目的就是为了防止恶意代码在沙箱环境下被自动化分析及给安全研究人员分析恶意代码带来一定干扰。目前对于反虚拟机与反虚拟机技术的对抗提升，检测虚拟机的各种特征技术早已成熟。对于现在流行的修改虚拟机特征参数为固定值躲避识别的方法，随着一段时间的攻与防对抗，这些固定值会被黑客获取到，同时作为识别虚拟机的一直手段，恶意程序则会很容易检测其在虚拟机环境下运行。

发明内容

基于上述问题，本发明提出了一种基于修改沙箱环境防止恶意代码识别沙箱的方法，利用样本运行前通过修改沙箱环境的方式就解决了恶意代码样本对沙箱环境的检测，从而避免了对沙箱的识别。

一种基于修改沙箱环境防止恶意代码识别沙箱的方法，包括：

获取用于检测沙箱环境的关键识别点，所述关键识别点包括系统信息、硬件信息及应用信息；

根据已知实体计算机的信息，修改或删除所述关键识别点；

运行恶意代码样本，触发恶意代码。

所述的方法中，所述系统信息包括：系统用户名、操作系统ID、沙箱受限环境下注册表中用来识别沙箱的虚拟机信息参数及沙箱受限环境下的开发环境进程。所述沙箱受限环境即沙箱所在的环境，如果沙箱被装载在物理机上，则物理机为沙箱的受限环境，如果沙箱被装载在虚拟机上，则虚拟机为沙箱的受限环境。

所述的方法中，所述硬件信息包括：BIOS信息、设备映射信息、网卡的mac地址及CPU名称和数量。

所述的方法中，所述应用信息包括：恶意代码样本路径信息。

所述的方法中，所述根据已知实体计算机的信息，修改或删除所述关键识别点具体为：删除沙箱受限环境下注册表中用来识别沙箱的虚拟机信息参数或将其他的系统信息、硬件信息及应用信息替换为已知实体计算机的对应信息。

一种基于修改沙箱环境防止恶意代码识别沙箱的系统，包括：

识别点获取模块，用于获取用于检测沙箱环境的关键识别点，所述关键识别点包括系统信息、硬件信息及应用信息；

信息修改模块，用于根据已知实体计算机的信息，修改或删除所述关键识别点；

运行模块，用于运行恶意代码样本，触发恶意代码。

所述的系统中，所述系统信息包括：系统用户名、操作系统ID、沙箱受限环境下注册表中用来识别沙箱的虚拟机信息参数及沙箱受限环境下的开发环境进程。

所述的系统中，所述硬件信息包括：BIOS信息、设备映射信息、网卡的mac地址及CPU名称和数量。

所述的系统中，所述应用信息包括：恶意代码样本路径信息。

所述的系统中，所述信息修改模块根据已知实体计算机的信息，修改或删除所述关键识别点具体为：删除沙箱受限环境下注册表中用来识别沙箱的虚拟机信息参数或将其他的系统信息、硬件信息及应用信息替换为已知实体计算机的对应信息。

本发明的优势在于，在恶意代码样本运行前修改了沙箱环境下能够用来检测沙箱的信息，使得恶意代码样本无法识别所在环境为沙箱，进而触发本身的恶意行为。

本发明提出了一种基于修改沙箱环境防止恶意代码识别沙箱的方法及系统，通过获取用于检测沙箱环境的关键识别点，所述关键识别点包括系统信息、硬件信息及应用信息；并根据已知实体计算机的信息，修改或删除所述关键识别点后，再运行恶意代码样本，触发恶意代码。该方法能有效防止恶意代码探测识别出所在环境为沙箱，不进行代码的触发，无法进行代码的检测和监控的问题。通过在恶意代码样本运行前修改沙箱的环境，使恶意代码无法识别到沙箱，进行正常的运行，便于监测。

附图说明