[发明专利]基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法

摘要

本发明涉及恶意文件检测领域，旨在提供基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法。该方法包括步骤沙箱虚拟机中的操作系统提供回调接口和开放式可疑文件的提交接口；在沙箱虚拟机的操作系统中，注册监控驱动；当沙箱虚拟机的操作系统开始模拟运行多个可疑文件时，为每个可疑文件分配专属桌面资源；可疑文件执行完成后，通过回调接口，返回捕获到的上述可疑文件的行为信息，并清理重定向的文件、注册表路径、内核对象目录，销毁所述可疑文件的专属桌面资源。本发明使多个样本可以在同一时间内互不干扰的进行检查，提升了对系统资源的利用率，也进一步提升了沙箱对可疑文件的检测效率。

主权项

基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法，用于利用沙箱虚拟机，对多个可疑文件进行并发检测，其特征在于，所述基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法具体包括下述步骤：步骤A：沙箱虚拟机中的操作系统提供回调接口和开放式可疑文件的提交接口；所述提交接口用以外部任务调度程序向沙箱虚拟机提交可疑文件，且提交接口限定沙箱虚拟机中能并发运行的可疑文件的最大数量；所述回调接口用以向外部任务调度程序返回可疑文件被捕获的行为信息，行为信息包括但不限于可疑文件调用操作系统的API函数及相关参数；步骤B：在沙箱虚拟机的操作系统中，注册监控驱动；监控驱动用于对指定进程ID及其所有子进程的文件操作、注册表操作、内核对象进行重定向，以及对消息进行隔离，对进程进行隐藏，使可疑文件的运行空间保持独占和相对隔离，从而保证每个可疑文件的运行轨迹不受其他可疑文件所产生的进程的影响；所述监控驱动，是在Windows下，使用文件过滤驱动框架编写的程序，用于实现文件重定向、注册表重定向、内核对象重定向、消息隔离、进程隐藏功能，即监控驱动是基于操作系统的文件系统过滤驱动的Windows驱动程序；步骤C：当沙箱虚拟机的操作系统开始模拟运行多个可疑文件时，为保证每个可疑文件的运行截屏中，不出现其他可疑文件的运行信息或界面，会在每个可疑文件模拟运行时，为每个可疑文件分配专属桌面资源；在专属桌面中，先以挂起方式执行可疑文件，注入监控程序用以捕获可疑文件的行为信息，把进程ID传入监控驱动中，用以文件、注册表、内核对象重定向以及消息隔离、进程隐藏操作；其中，所述监控程序，能注入程序进程空间，并通过HOOK方式获取可疑文件调用操作系统的API函数及相关参数行为信息；步骤D：可疑文件执行完成后，通过回调接口，返回捕获到的上述可疑文件的行为信息，并清理重定向的文件、注册表路径、内核对象目录，销毁所述可疑文件的专属桌面资源；返回的行为信息包括但不限于可疑文件调用操作系统的API函数及相关参数。