[发明专利]一种沙箱分析方法、装置、电子设备及存储介质

说明书

本发明实施例公开一种沙箱分析方法、装置、电子设备及存储介质，涉及信息安全技术领域，能够大大减少样本逃避检测的几率，有效提升沙箱检测能力。所述方法包括：运行输入沙箱的程序样本并监测所述程序样本运行中是否存在创建定时任务的操作；在所述程序样本运行中存在创建定时任务的操作的情况下，触发创建的所述定时任务提前执行。本发明可用于沙箱分析中。

技术领域

本发明涉及互联网技术领域，尤其涉及一种沙箱分析方法、装置、电子设备及存储介质。

背景技术

沙箱是一种按照安全策略限制程序行为的执行环境，可以用于测试可疑软件等，运行所产生的变化可以随后删除。通过在沙箱环境中运行程序，可以检测程序中是否存在恶意行为，当发现程序中存在恶意行为时可以发出告警。

目前的沙箱检测中，对于程序样本分析的时长有一个最大值限制，比如分析时长最大为十分钟，如果样本在十分钟后没有运行结束，那么沙箱系统会强制结束分析。

恶意软件的常常利用这种分析时长的限制，通过创建定时任务，使自身或者自身的某些关键行为在一定时间后(比如十分钟)再执行，以便逃避沙箱的检测。

发明内容

有鉴于此，本发明实施例提供一种沙箱分析方法、装置、电子设备及存储介质，能够大大减少样本逃避检测的几率，有效提升沙箱检测能力。

第一方面，本发明实施例提供一种沙箱分析方法，包括：运行输入沙箱的程序样本并监测所述程序样本运行中是否存在创建定时任务的操作；在所述程序样本运行中存在创建定时任务的操作的情况下，触发创建的所述定时任务提前执行。

结合第一方面，在第一方面的第一种可能的实现方式中，所述监测所述程序样本运行中是否存在创建定时任务的操作包括：监测所述程序样本对预设API(ApplicationProgramming Interface，应用程序编程接口)函数和/或预设系统命令的调用；根据监测到的调用情况，确定所述程序样本运行中是否存在创建定时任务的操作。

结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述监测所述程序样本对预设API函数和/或预设系统命令的调用包括：通过对所述预设API函数注册的监测函数，监测所述程序样本对所述预设API函数的调用；所述根据监测到的调用情况，确定所述程序样本运行中是否存在创建定时任务的操作包括：在所述监测函数被调用的情况下，确定所述程序样本运行中存在创建定时任务的操作。

结合第一方面的第一种可能的实现方式，在第一方面的第三种可能的实现方式中，所述监测所述程序样本对预设API函数和/或预设系统命令的调用包括：通过对预设系统命令的衍生进程的监测，监测所述程序样本对所述预设系统命令的调用；所述根据监测到的调用情况，确定所述程序样本运行中是否存在创建定时任务的操作包括：在所述衍生进程中包括创建定时任务的命令的情况下，确定所述程序样本运行中存在创建定时任务的操作。

结合第一方面，在第一方面的第四种可能的实现方式中，所述在所述程序样本运行中存在创建定时任务的操作的情况下，触发创建的所述定时任务提前执行包括：在所述程序样本运行中存在创建定时任务的操作的情况下，直接调用实现所述定时任务的API函数，以触发所述定时任务提前执行，或者修改所述定时任务的定时参数，以触发所述定时任务提前执行，或者向所述定时任务发送模拟触发信号，以触发所述定时任务提前执行，或者修改系统时间，以触发所述定时任务提前执行。

第二方面，本发明的实施例还提供一种沙箱分析装置，包括：监测单元，运行输入沙箱的程序样本并监测所述程序样本运行中是否存在创建定时任务的操作；触发单元，用于在所述监测单元监测到所述程序样本运行中存在创建定时任务的操作的情况下，触发创建的所述定时任务提前执行。