一种基于沙箱环境的样本分析方法和装置制造方法及图纸

本发明专利技术涉及一种基于沙箱环境的样本分析方法和装置，该样本分析方法，包括：获取待分析样本在执行过程中所调用的API的参数信息，所述参数信息的类型包括注册表、文件、服务、进程和窗体；判断所调用的API的参数信息和预先构建好的特征库是否匹配；如果是，则将所述特征库中与所调用的API的参数信息相匹配的参数信息发送给该API，以进行环境创建；如果否，则将与所调用的API的参数信息的类型相同的参数信息发送给该API，以进行环境创建；对所述待分析样本进行样本分析。本发明专利技术的方案能够提高基于沙箱环境的样本分析的效率和准确性。沙箱环境的样本分析的效率和准确性。沙箱环境的样本分析的效率和准确性。

【技术实现步骤摘要】
一种基于沙箱环境的样本分析方法和装置


[0001]本专利技术涉及计算机
，尤其涉及基于沙箱环境的样本分析方法和装置。

技术介绍

[0002]自动化分析样本的时候沙箱内环境基本是统一的，应用种类众多是一方面，另一方面每种应用也不只一种版本。一个沙箱环境搭载多个应用及版本显然是比较困难的。在海量分析样本的时候，被分析的样本可能需要的应用环境多种多样，而沙箱内的分析环境一成不变，这就导致样本的行为不能够被完全触发，将直接影响样本分析的效率和准确性。
[0003]因此，针对以上不足，需要提供一种基于沙箱环境的样本分析方法和装置。

技术实现思路

[0004]本专利技术要解决的技术问题在于基于沙箱环境的样本分析的效率和准确性不高，针对现有技术中的缺陷，提供一种基于沙箱环境的样本分析方法和装置。
[0005]为了解决上述技术问题，本专利技术提供了一种基于沙箱环境的样本分析方法，包括：
[0006]获取待分析样本在执行过程中所调用的API的参数信息，所述参数信息的类型包括注册表、文件、服务、进程和窗体；
[0007]判断所调用的API的参数信息和预先构建好的特征库存储的参数信息是否匹配；
[0008]如果是，则将所述特征库中与所调用的API的参数信息相匹配的参数信息发送给该API，以进行环境创建；
[0009]如果否，则将与所调用的API的参数信息的类型相同的参数信息发送给该API，以进行环境创建；
[0010]对所述待分析样本进行样本分析。
[0011]在一种可能的实现方式中，所述获取待分析样本在执行过程中所调用的API的参数信息，包括：
[0012]构造跳转指令；
[0013]在内存中获取待hook的API的地址；
[0014]将所述跳转指令写入待hook的API的地址的预设位置，以获取待分析样本在执行过程中所调用的API的参数信息。
[0015]在一种可能的实现方式中，在所述获取待分析样本在执行过程中所调用的API的参数信息之后和在所述判断所调用的API的参数信息和预先构建好的特征库存储的参数信息是否匹配之前，进一步包括：对获取的API的参数信息进行格式化处理；
[0016]利用该API经格式化处理得到的参数信息，执行所述判断所调用的API的参数信息和预先构建好的特征库存储的参数信息是否匹配。
[0017]在一种可能的实现方式中，所述对获取的API的参数信息进行格式化处理，包括：
[0018]对获取的API的参数信息的类型进行一次格式化处理；
[0019]当获取的API的参数信息的类型为注册表或文件时，对获取的API的参数信息进行
二次格式化处理。
[0020]在一种可能的实现方式中，在所述获取待分析样本在执行过程中所调用的API的参数信息之后和在所述判断所调用的API的参数信息和预先构建好的特征库存储的参数信息是否匹配之前，进一步包括：
[0021]判断沙箱环境中是否存在与所调用的API的参数信息相同的参数信息；
[0022]如果是，则跳转执行所述对所述待分析样本进行样本分析；
[0023]如果否，则执行所述判断所调用的API的参数信息和预先构建好的特征库存储的参数信息是否匹配。
[0024]在一种可能的实现方式中，在所述获取待分析样本在执行过程中所调用的API的参数信息之后和在所述判断所调用的API的参数信息和预先构建好的特征库存储的参数信息是否匹配之前，进一步包括：
[0025]判断预先构建好的特征库中是否存在与所调用的API的参数信息相对应的唯一标识信息；所述唯一标识信息用于表征所述特征库发送给API的参数信息；
[0026]如果是，则跳转执行所述对所述待分析样本进行样本分析；
[0027]如果否，则执行所述判断所调用的API的参数信息和预先构建好的特征库存储的参数信息是否匹配。
[0028]在一种可能的实现方式中，所述特征库是通过如下方式进行构建：
[0029]获取应用所述样本分析方法的服务器中每一个可执行程序的安装包；
[0030]获取所述服务器中每一个可执行程序在执行过程中产生的所有参数信息；
[0031]将所述服务器中每一个可执行程序的安装包和该可执行程序在执行过程中产生的所有参数信息存储到特征库中。
[0032]本专利技术还提供了一种基于沙箱环境的样本分析装置，包括：
[0033]获取模块，用于获取待分析样本在执行过程中所调用的API的参数信息，所述参数信息的类型包括注册表、文件、服务、进程和窗体；
[0034]第一判断模块，用于执行如下操作：判断所调用的API的参数信息和预先构建好的特征库存储的参数信息是否匹配；如果是，则将所述特征库中与所调用的API的参数信息相匹配的参数信息发送给该API，以进行环境创建；如果否，则将与所调用的API的参数信息的类型相同的参数信息发送给该API，以进行环境创建；
[0035]样本分析模块，用于对所述待分析样本进行样本分析。
[0036]本专利技术还提供了一种基于沙箱环境的样本分析装置，包括：至少一个存储器和至少一个处理器；
[0037]所述至少一个存储器，用于存储机器可读程序；
[0038]所述至少一个处理器，用于调用所述机器可读程序，执行如上述所述的方法。
[0039]本专利技术还提供了一种计算机可读介质，所述计算机可读介质上存储有计算机指令，所述计算机指令在被处理器执行时，使所述处理器执行如上述所述的方法。
[0040]实施本专利技术的基于沙箱环境的样本分析方法和装置，具有以下有益效果：
[0041]在对待分析样本进行样本分析时，通过设置预先构建好特征库，以判断待分析样本在执行过程中所调用的API的参数信息是否与该特征库存储的参数信息是否匹配，从而可以根据判断的结果来创建出该待分析样本所需的应用环境，并对待分析样本进行样本分
析。上述技术方案可以避免人工介入修改沙箱环境，如此提高了样本分析的效率和准确性。
附图说明
[0042]图1是本专利技术一个实施例提供的基于沙箱环境的样本分析方法的流程图；
[0043]图2是本专利技术另一个实施例提供的基于沙箱环境的样本分析方法的流程图；
[0044]图3是本专利技术一个实施例提供的基于沙箱环境的样本分析装置所在设备的示意图；
[0045]图4是本专利技术一个实施例提供的基于沙箱环境的样本分析装置的示意图。
具体实施方式
[0046]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术的一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0047]在样本分析的过程中，通常是通过对样本行为的监控、分析，并本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于沙箱环境的样本分析方法，其特征在于，包括：获取待分析样本在执行过程中所调用的API的参数信息，所述参数信息的类型包括注册表、文件、服务、进程和窗体；判断所调用的API的参数信息和预先构建好的特征库中存储的参数信息是否匹配；如果是，则将所述特征库中与所调用的API的参数信息相匹配的参数信息发送给该API，以进行环境创建；如果否，则将与所调用的API的参数信息的类型相同的参数信息发送给该API，以进行环境创建；对所述待分析样本进行样本分析。2.根据权利要求1所述的方法，其特征在于，所述获取待分析样本在执行过程中所调用的API的参数信息，包括：构造跳转指令；在内存中获取待hook的API的地址；将所述跳转指令写入待hook的API的地址的预设位置，以获取待分析样本在执行过程中所调用的API的参数信息。3.根据权利要求1所述的方法，其特征在于，在所述获取待分析样本在执行过程中所调用的API的参数信息之后和在所述判断所调用的API的参数信息和预先构建好的特征库存储的参数信息是否匹配之前，进一步包括：对获取的API的参数信息进行格式化处理；利用该API经格式化处理得到的参数信息，执行所述判断所调用的API的参数信息和预先构建好的特征库存储的参数信息是否匹配。4.根据权利要求3所述的方法，其特征在于，所述对获取的API的参数信息进行格式化处理，包括：对获取的API的参数信息的类型进行一次格式化处理；当获取的API的参数信息的类型为注册表或文件时，对获取的API的参数信息进行二次格式化处理。5.根据权利要求1所述的方法，其特征在于，在所述获取待分析样本在执行过程中所调用的API的参数信息之后和在所述判断所调用的API的参数信息和预先构建好的特征库存储的参数信息是否匹配之前，进一步包括：判断沙箱环境中是否存在与所调用的API的参数信息相同的参数信息；如果是，则跳转执行所述对所述待分析样本进行样本分析；如果否，则执行所述判断所调用的API的参数信息和预先构建好的特征库存储的参数信息是否匹配。6.根据权利要求1所述的方法，其特征...

【专利技术属性】
技术研发人员：李林哲，程震，关墨辰，肖新光，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：