[发明专利]一种沙箱分析方法、装置、电子设备及存储介质

权利要求书

1.一种沙箱分析方法，其特征在于，包括：

运行输入沙箱的程序样本并监测所述程序样本运行中是否存在创建定时任务的操作；

在所述程序样本运行中存在创建定时任务的操作的情况下，触发创建的所述定时任务提前执行。

2.根据权利要求1所述的方法，其特征在于，所述监测所述程序样本运行中是否存在创建定时任务的操作包括：

监测所述程序样本对预设API函数和/或预设系统命令的调用；

根据监测到的调用情况，确定所述程序样本运行中是否存在创建定时任务的操作。

3.根据权利要求2所述的方法，其特征在于，所述监测所述程序样本对预设API函数和/或预设系统命令的调用包括：

通过对所述预设API函数注册的监测函数，监测所述程序样本对所述预设API函数的调用；

所述根据监测到的调用情况，确定所述程序样本运行中是否存在创建定时任务的操作包括：

在所述监测函数被调用的情况下，确定所述程序样本运行中存在创建定时任务的操作。

4.根据权利要求2所述的方法，其特征在于，所述监测所述程序样本对预设API函数和/或预设系统命令的调用包括：

通过对预设系统命令的衍生进程的监测，监测所述程序样本对所述预设系统命令的调用；

所述根据监测到的调用情况，确定所述程序样本运行中是否存在创建定时任务的操作包括：

在所述衍生进程中包括创建定时任务的命令的情况下，确定所述程序样本运行中存在创建定时任务的操作。

5.根据权利要求1所述的方法，其特征在于，所述在所述程序样本运行中存在创建定时任务的操作的情况下，触发创建的所述定时任务提前执行包括：

在所述程序样本运行中存在创建定时任务的操作的情况下，直接调用实现所述定时任务的API函数，以触发所述定时任务提前执行，或者修改所述定时任务的定时参数，以触发所述定时任务提前执行，或者向所述定时任务发送模拟触发信号，以触发所述定时任务提前执行，或者修改系统时间，以触发所述定时任务提前执行。

6.一种沙箱分析装置，其特征在于，包括：

监测单元，运行输入沙箱的程序样本并监测所述程序样本运行中是否存在创建定时任务的操作；

触发单元，用于在所述监测单元监测到所述程序样本运行中存在创建定时任务的操作的情况下，触发创建的所述定时任务提前执行。

7.根据权利要求6所述的装置，其特征在于，所述监测单元包括：

监测模块，用于监测所述程序样本对预设API函数和/或预设系统命令的调用；

确定模块，用于根据监测到的调用情况，确定所述程序样本运行中是否存在创建定时任务的操作。

8.根据权利要求7所述的装置，其特征在于，所述监测模块，具体用于通过对所述预设API函数注册的监测函数，监测所述程序样本对所述预设API函数的调用；

所述确定模块，具体用于在所述监测函数被调用的情况下，确定所述程序样本运行中存在创建定时任务的操作。

9.根据权利要求7所述的装置，其特征在于，所述监测模块，具体用于通过对预设系统命令的衍生进程的监测，监测所述程序样本对所述预设系统命令的调用；

所述确定模块，具体用于在所述衍生进程中包括创建定时任务的命令的情况下，确定所述程序样本运行中存在创建定时任务的操作。

10.根据权利要求7所述的装置，其特征在于，所述触发单元，具体用于在确定所述程序样本运行中存在创建定时任务的操作的情况下，直接调用实现所述定时任务的API函数，以触发所述定时任务提前执行，或者修改所述定时任务的定时参数，以触发所述定时任务提前执行，或者向所述定时任务发送模拟触发信号，以触发所述定时任务提前执行，或者修改系统时间，以触发所述定时任务提前执行。