技術領域

本發明涉及互聯網技術領域，具體涉及一種目標樣本文件的檢測方法和裝置。

背景技術

隨著互聯網技術的不斷發展，人們對于網絡的使用愈加頻繁，通過網絡可以進行工作、學習、生活、娛樂等多方面的事宜，給人們帶來了極大的便利。然而，當前互聯網技術中存在系統級的內核漏洞，這些漏洞給惡意開發者以可乘之機，惡意開發者們通過威脅樣本文件利用這些漏洞對各種客戶端、服務端所在的終端進行攻擊，獲取用戶的個人信息，威脅用戶的信息安全，給用戶的人身、財產等方面損失。其中特別地，惡意開發者們在通過威脅樣本文件進行漏洞利用的過程中，常常采用修改進程屬性的手段來獲取系統級權限進而執行非法操作。

因此，如何有效、全面地對互聯網中進行漏洞利用攻擊的可疑樣本進行挖掘、檢測和處理，是當前亟待解決的重要問題。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的目標樣本文件的檢測方法和裝置。

依據本發明的一個方面，提供了一種目標樣本文件的檢測方法，包括：

從數據源接收目標樣本文件，將所述目標樣本文件投放到沙箱中運行；

監聽所述目標樣本文件在沙箱中運行的過程中是否發生進程屬性修改事件；

是則，確定所述目標樣本文件是威脅樣本文件；

否則，確定所述目標樣本文件不是威脅樣本文件。

可選地，所述將所述目標樣本文件投放到沙箱中運行包括：

在沙箱中創建所述目標樣本文件對應的進程，通過該進程執行所述目標樣本文件在沙箱中的運行；

在創建所述目標樣本文件對應的進程時，記錄所述目標樣本文件對應的進程的初始屬性值。

可選地，所述監聽所述目標樣本文件在沙箱中運行的過程中是否發生進程屬性修改事件包括：

監聽所述目標樣本文件在沙箱中執行的指定操作事件；

當監聽到指定操作事件發生時，攔截所述指定操作事件，獲取當前所述目標樣本文件對應的進程的指定屬性值；

將當前所述目標樣本文件對應的進程的指定屬性值與所述目標樣本文件對應的進程的初始屬性值進行匹配，如果至少一項匹配不成功，確定所述目標樣本文件在沙箱中運行的過程中發生進程屬性修改事件；否則，確定所述目標樣本文件在沙箱中運行的過程中未發生進程屬性修改事件。

可選地，所述目標樣本文件對應的進程的初始屬性值包括如下一種或多種：Privileges屬性值、UserSID屬性值、OwnerSID屬性值；

所述當前所述目標樣本文件對應的進程的指定屬性值包括如下一種或多種：所述目標樣本文件對應的進程的令牌中的Privileges屬性值、TokenUser屬性值、TokenOwner屬性值。

可選地，所述監聽所述目標樣本文件在沙箱中運行的過程中是否發生進程屬性修改事件包括：

監聽所述目標樣本文件在沙箱中執行的指定操作事件；

當監聽到指定操作事件發生時，攔截所述指定操作事件；

判斷當前所述目標樣本文件對應的進程的令牌的訪問控制列表是否處于置空狀態，是則，確定所述目標樣本文件在沙箱中運行的過程中發生進程屬性修改事件；否則，確定所述目標樣本文件在沙箱中運行的過程中未發生進程屬性修改事件。

可選地，該方法進一步包括：

當確定所述目標樣本文件在沙箱中運行的過程中發生進程屬性修改事件時，強制結束所述指定操作事件；

當確定所述目標樣本文件在沙箱中運行的過程中未發生進程屬性修改事件時，允許所述指定操作事件繼續執行。

可選地，所述指定操作事件包括：對執行指定操作的函數進行調用的事件；

所述指定操作包括：對沙箱中的內存、特權、注冊表、進程、線程、和/或文件進行創建和/或讀寫的操作。

可選地，所述監聽所述目標樣本文件在沙箱中執行的指定操作事件包括：

在執行指定操作的函數上掛載鉤子函數，攔截指示對執行所述指定操作的函數進行調用的消息；

判斷所述指示對執行所述指定操作的函數進行調用的消息的發送者是否為所述目標樣本文件；

是則，確定監聽到所述目標樣本文件在沙箱中執行的指定操作事件，否則放行所述指示對執行所述指令操作的函數進行調用的消息。

可選地，該方法進一步包括：

記錄所述目標樣本文件在沙箱中運行的運行日志；

當確定所述目標樣本文件是威脅樣本文件時，根據所述目標樣本文件在沙箱中運行的運行日志獲得所述目標樣本文件相關的特征信息；