基于函数注入的沙箱拦截识别方法

StepPeng33

摘 要：沙箱验证机制的测试需要首先识别沙箱拦截，即识别沙箱截获的系统函数集。已有的 Hook 识别方法大多
2 C+ g/ m5 M6 p( ]; ]+ e& @6 _仅关注钩子的存在性，识别沙箱拦截的能力不足。该文设计了一种基于函数注入的沙箱拦截识别方法，该方法分析
* M5 \) |' t3 m4 F系统函数的指令执行记录(Trace)来识别沙箱截获的系统函数。首先，向不可信进程注入并执行系统函数来获取函
4 O( |! b- {* O8 t. {9 y数的执行记录；其次，根据沙箱截获系统函数执行记录的特点，设计了地址空间有限状态自动机，并在自动机内分
8 H7 u  f: l$ \' }3 I$ I析获取的执行记录来判别沙箱截获的系统函数；最后，遍历测试函数集来识别目标沙箱截获的系统函数集。该文设
计实现了原型系统 SIAnalyzer，并对 Chromium 和 Adobe Reader 进行了沙箱拦截识别测试，测试结果验证了方法
的有效性和实用性。
关键词：沙箱拦截；系统函数集；钩子；函数注入；自动机
4 C( x5 X2 @+ `' e' M+ e
- U8 s5 H6 a2 i- ?+ Y


附件下载：

游客，如果您要查看本帖隐藏内容请回复

land

谢谢分享