本發(fā)明的實施例公開一種程序啟動方法、裝置、電子設備及存儲介質(zhì)，涉及計算機網(wǎng)絡安全領(lǐng)域，能夠在客戶機外部實現(xiàn)對樣本程序的啟動。所述一種程序啟動方法，應用于宿主機，該方法包括：將樣本程序輸入到客戶機；當監(jiān)測到客戶機的控制流的觸發(fā)事件，將當前執(zhí)行指針跳轉(zhuǎn)到所述匯編指令片段進行執(zhí)行以啟動所述樣本程序。本發(fā)明適用于對樣本程序的檢測。

技術(shù)領(lǐng)域

本發(fā)明涉及計算機網(wǎng)絡安全領(lǐng)域，尤其涉及一種程序啟動方法、裝置、電子設備及存儲介質(zhì)。

背景技術(shù)

沙箱(Sandboxie)，又名沙盤，是一種按照安全策略限制程序行為的執(zhí)行環(huán)境，它允許用戶在沙箱環(huán)境中運行程序，運行所產(chǎn)生的變化可以隨后刪除。通過在沙箱環(huán)境中運行程序，可以檢測程序中是否存在惡意行為，當發(fā)現(xiàn)程序中存在惡意行為時可以發(fā)出告警。

目前在以虛擬機作為載體的沙箱中，將待檢測程序作為樣本投遞進虛擬機中進行分析時，需要在虛擬機中首先啟動樣本，然后監(jiān)控啟動后的樣本的運行軌跡。啟動樣本的傳統(tǒng)做法是提前在客戶機(利用虛擬機軟件安裝在宿主機上的虛擬設備)內(nèi)部加入啟動程序并且將其設置為自啟動，使其隨客戶機的啟動而啟動，這種方法必須事先對目標客戶機進行修改和配置，并且可能被啟動后的樣本通過搜索注冊表項，自啟動文件等方法進行識別，以此來逃避檢測，更麻煩的是這種樣本的啟動方法必須在客戶機內(nèi)部添加相關(guān)程序并且進行配置，不能靈活的適應位于虛擬機外的監(jiān)控程序的調(diào)度。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實施例提供一種程序啟動方法、裝置、電子設備及存儲介質(zhì)，能夠在客戶機外部實現(xiàn)對樣本程序的啟動。

第一方面，本發(fā)明實施例提供一種程序啟動方法，應用于宿主機，該方法包括：將樣本程序輸入到客戶機中；當監(jiān)測到客戶機的控制流的觸發(fā)事件，將當前執(zhí)行指針跳轉(zhuǎn)到用于啟動所述樣本程序的匯編指令片段進行執(zhí)行以啟動所述樣本程序。

結(jié)合第一方面，在第一方面的第一種可能的實現(xiàn)方式中，所述當監(jiān)測到客戶機的控制流的觸發(fā)事件，將當前執(zhí)行指針跳轉(zhuǎn)到所述匯編指令片段進行執(zhí)行以啟動所述樣本程序之前，所述方法還包括：獲取所述客戶機的信息，所述客戶機信息包括虛擬機名稱、虛擬機類型以及虛擬機上運行的操作類型；根據(jù)所述客戶機的信息、所述樣本程序的類型以及所述樣本程序位于所述客戶機的位置生成用于啟動所述樣本程序的匯編指令片段。

結(jié)合第一方面的第一種可能的實現(xiàn)方式，在第一方面的第二種可能的實現(xiàn)方式中，所述根據(jù)所述客戶機的信息、所述樣本程序的類型以及所述樣本程序位于所述客戶機的位置生成用于啟動所述樣本程序的匯編指令片段之后，所述方法還包括：調(diào)用虛擬機管理軟件的內(nèi)存操作接口，在客戶機的內(nèi)存空間上申請一段用于保存所述匯編指令片段的第一空間，所述第一空間大小為生成的所述匯編指令片段的大小；調(diào)用虛擬機管理軟件的寫內(nèi)存接口，將所述匯編指令片段寫入所述第一空間，并記錄所述第一空間的首地址；所述將當前執(zhí)行指針跳轉(zhuǎn)到所述匯編指令片段進行執(zhí)行以啟動所述樣本程序，包括：將當前執(zhí)行指針跳轉(zhuǎn)至所述第一空間的首地址，對所述第一空間內(nèi)寫入的所述匯編指令片段進行執(zhí)行。

結(jié)合第一方面，在第一方面的第三種可能的實現(xiàn)方式中，在將樣本程序輸入到客戶機之前，所述程序啟動方法，還包括：調(diào)用虛擬機自省接口的中斷操作接口注冊中斷事件，所述中斷事件為所述客戶機中的虛擬機系統(tǒng)啟動后出現(xiàn)的任一中斷事件；所述當監(jiān)測到客戶機的控制流的觸發(fā)事件，將當前執(zhí)行指針跳轉(zhuǎn)到所述匯編指令片段進行執(zhí)行以啟動所述樣本程序，包括：當監(jiān)測到所述中斷事件在虛擬機系統(tǒng)開機后被觸發(fā)，將當前執(zhí)行指針跳轉(zhuǎn)到所述匯編指令片段進行執(zhí)行以啟動所述樣本程序。

結(jié)合第一方面，在第一方面的第四種可能的實現(xiàn)方式中，所述將當前執(zhí)行指針跳轉(zhuǎn)到所述匯編指令片段進行執(zhí)行以啟動所述樣本程序之前，所述方法還包括：備份當前指令執(zhí)行現(xiàn)場信息，所述指令執(zhí)行現(xiàn)場信息包括指針地址、棧地址以及寄存器的當前狀態(tài)；所述將當前執(zhí)行指針跳轉(zhuǎn)到所述匯編指令片段進行執(zhí)行以啟動所述樣本程序之后，所述方法還包括：根據(jù)所述指令執(zhí)行現(xiàn)場信息，將所述當前執(zhí)行指針跳轉(zhuǎn)到備份時的狀態(tài)，將棧以及寄存器恢復到備份時的狀態(tài)。