[发明专利]一种程序启动方法、装置、电子设备及存储介质

说明书

本发明的实施例公开一种程序启动方法、装置、电子设备及存储介质，涉及计算机网络安全领域，能够在客户机外部实现对样本程序的启动。所述一种程序启动方法，应用于宿主机，该方法包括：将样本程序输入到客户机；当监测到客户机的控制流的触发事件，将当前执行指针跳转到所述汇编指令片段进行执行以启动所述样本程序。本发明适用于对样本程序的检测。

技术领域

本发明涉及计算机网络安全领域，尤其涉及一种程序启动方法、装置、电子设备及存储介质。

背景技术

沙箱(Sandboxie)，又名沙盘，是一种按照安全策略限制程序行为的执行环境，它允许用户在沙箱环境中运行程序，运行所产生的变化可以随后删除。通过在沙箱环境中运行程序，可以检测程序中是否存在恶意行为，当发现程序中存在恶意行为时可以发出告警。

目前在以虚拟机作为载体的沙箱中，将待检测程序作为样本投递进虚拟机中进行分析时，需要在虚拟机中首先启动样本，然后监控启动后的样本的运行轨迹。启动样本的传统做法是提前在客户机(利用虚拟机软件安装在宿主机上的虚拟设备)内部加入启动程序并且将其设置为自启动，使其随客户机的启动而启动，这种方法必须事先对目标客户机进行修改和配置，并且可能被启动后的样本通过搜索注册表项，自启动文件等方法进行识别，以此来逃避检测，更麻烦的是这种样本的启动方法必须在客户机内部添加相关程序并且进行配置，不能灵活的适应位于虚拟机外的监控程序的调度。

发明内容

有鉴于此，本发明实施例提供一种程序启动方法、装置、电子设备及存储介质，能够在客户机外部实现对样本程序的启动。

第一方面，本发明实施例提供一种程序启动方法，应用于宿主机，该方法包括：将样本程序输入到客户机中；当监测到客户机的控制流的触发事件，将当前执行指针跳转到用于启动所述样本程序的汇编指令片段进行执行以启动所述样本程序。

结合第一方面，在第一方面的第一种可能的实现方式中，所述当监测到客户机的控制流的触发事件，将当前执行指针跳转到所述汇编指令片段进行执行以启动所述样本程序之前，所述方法还包括：获取所述客户机的信息，所述客户机信息包括虚拟机名称、虚拟机类型以及虚拟机上运行的操作类型；根据所述客户机的信息、所述样本程序的类型以及所述样本程序位于所述客户机的位置生成用于启动所述样本程序的汇编指令片段。

结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述根据所述客户机的信息、所述样本程序的类型以及所述样本程序位于所述客户机的位置生成用于启动所述样本程序的汇编指令片段之后，所述方法还包括：调用虚拟机管理软件的内存操作接口，在客户机的内存空间上申请一段用于保存所述汇编指令片段的第一空间，所述第一空间大小为生成的所述汇编指令片段的大小；调用虚拟机管理软件的写内存接口，将所述汇编指令片段写入所述第一空间，并记录所述第一空间的首地址；所述将当前执行指针跳转到所述汇编指令片段进行执行以启动所述样本程序，包括：将当前执行指针跳转至所述第一空间的首地址，对所述第一空间内写入的所述汇编指令片段进行执行。

结合第一方面，在第一方面的第三种可能的实现方式中，在将样本程序输入到客户机之前，所述程序启动方法，还包括：调用虚拟机自省接口的中断操作接口注册中断事件，所述中断事件为所述客户机中的虚拟机系统启动后出现的任一中断事件；所述当监测到客户机的控制流的触发事件，将当前执行指针跳转到所述汇编指令片段进行执行以启动所述样本程序，包括：当监测到所述中断事件在虚拟机系统开机后被触发，将当前执行指针跳转到所述汇编指令片段进行执行以启动所述样本程序。

结合第一方面，在第一方面的第四种可能的实现方式中，所述将当前执行指针跳转到所述汇编指令片段进行执行以启动所述样本程序之前，所述方法还包括：备份当前指令执行现场信息，所述指令执行现场信息包括指针地址、栈地址以及寄存器的当前状态；所述将当前执行指针跳转到所述汇编指令片段进行执行以启动所述样本程序之后，所述方法还包括：根据所述指令执行现场信息，将所述当前执行指针跳转到备份时的状态，将栈以及寄存器恢复到备份时的状态。