预估稿费:170RMB
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
写在前面的话
在过去的十多年里,针对恶意软件沙盒逃逸技术的分析已经成为了对抗高级持续性威胁的银弹,虽然这种技术变得越来越热门,但是恶意软件的开发者们似乎也找到了一种基于静态分析的方法(例如加密、混淆处理和反逆向保护等技术)来躲避传统反病毒安全工具的检测。因此,针对恶意软件沙盒逃逸技术的分析与研究已经成为了我们抵御高级持续性威胁的最后一道防线。
该系列文章主要介绍的是目前恶意软件主要使用的沙盒逃逸技术,本系列分上下集,并且会详细分析目前三大类主流的沙盒逃逸技术。
沙盒技术
实际上,沙盒就是一种类似影子系统的虚拟系统环境,它比带有宿主的虚拟机有着更深层次的系统内核级技术。它可以接管恶意软件的功能调用接口或函数行为,并且在确认了病毒行为之后实行回滚机制,并让系统保持一种干净的状态。它可以用来对一些来源不可信、具备破坏力或无法判断其真实意图的程序进行分析与测试,而且沙盒中的所有改动不会对主机操作系统造成任何的影响。通常来说,使用这种技术的人一般都是计算机信息安全领域的专业技术人员,尤其是反病毒行业。
沙盒的工作机制其实非常的简单:如何去确定一个文件是否是恶意文件呢?沙盒会在一个受控环境中对文件的行为进行观察,然后根据沙盒对该文件的分析结果来判断其是否具有恶意行为。沙盒允许恶意软件在受控环境中执行它所有的恶意功能,并对恶意行为进行记录,经过一段时间的观察之