基于函数注入的沙箱拦截识别方法

StepPeng33

摘 要：沙箱验证机制的测试需要首先识别沙箱拦截，即识别沙箱截获的系统函数集。已有的 Hook 识别方法大多
1 S- {/ ^, r$ b% o& Q仅关注钩子的存在性，识别沙箱拦截的能力不足。该文设计了一种基于函数注入的沙箱拦截识别方法，该方法分析
& Z; b9 q8 c) i5 H0 O" M! Y系统函数的指令执行记录(Trace)来识别沙箱截获的系统函数。首先，向不可信进程注入并执行系统函数来获取函
8 W  t$ C3 s2 ^9 e: w: S7 p$ o数的执行记录；其次，根据沙箱截获系统函数执行记录的特点，设计了地址空间有限状态自动机，并在自动机内分
1 k1 X# a- e: q8 `, n6 M, c& E析获取的执行记录来判别沙箱截获的系统函数；最后，遍历测试函数集来识别目标沙箱截获的系统函数集。该文设
- O& E3 v2 q- O4 b1 h+ Z计实现了原型系统 SIAnalyzer，并对 Chromium 和 Adobe Reader 进行了沙箱拦截识别测试，测试结果验证了方法
1 e9 h% j$ y: {. `" f1 y* I的有效性和实用性。
1 F' S2 t  N) @. h: D关键词：沙箱拦截；系统函数集；钩子；函数注入；自动机


9 y9 X) Y& B0 x3 K3 w

附件下载：

游客，如果您要查看本帖隐藏内容请回复

3 g* ^: k% Q  H! O; R

land

谢谢分享