本發(fā)明實(shí)施例公開一種沙箱分析方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)，涉及信息安全技術(shù)領(lǐng)域，能夠大大減少樣本逃避檢測(cè)的幾率，有效提升沙箱檢測(cè)能力。所述方法包括：運(yùn)行輸入沙箱的程序樣本并監(jiān)測(cè)所述程序樣本運(yùn)行中是否存在創(chuàng)建定時(shí)任務(wù)的操作；在所述程序樣本運(yùn)行中存在創(chuàng)建定時(shí)任務(wù)的操作的情況下，觸發(fā)創(chuàng)建的所述定時(shí)任務(wù)提前執(zhí)行。本發(fā)明可用于沙箱分析中。

技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，尤其涉及一種沙箱分析方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)

沙箱是一種按照安全策略限制程序行為的執(zhí)行環(huán)境，可以用于測(cè)試可疑軟件等，運(yùn)行所產(chǎn)生的變化可以隨后刪除。通過在沙箱環(huán)境中運(yùn)行程序，可以檢測(cè)程序中是否存在惡意行為，當(dāng)發(fā)現(xiàn)程序中存在惡意行為時(shí)可以發(fā)出告警。

目前的沙箱檢測(cè)中，對(duì)于程序樣本分析的時(shí)長(zhǎng)有一個(gè)最大值限制，比如分析時(shí)長(zhǎng)最大為十分鐘，如果樣本在十分鐘后沒有運(yùn)行結(jié)束，那么沙箱系統(tǒng)會(huì)強(qiáng)制結(jié)束分析。

惡意軟件的常常利用這種分析時(shí)長(zhǎng)的限制，通過創(chuàng)建定時(shí)任務(wù)，使自身或者自身的某些關(guān)鍵行為在一定時(shí)間后(比如十分鐘)再執(zhí)行，以便逃避沙箱的檢測(cè)。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實(shí)施例提供一種沙箱分析方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)，能夠大大減少樣本逃避檢測(cè)的幾率，有效提升沙箱檢測(cè)能力。

第一方面，本發(fā)明實(shí)施例提供一種沙箱分析方法，包括：運(yùn)行輸入沙箱的程序樣本并監(jiān)測(cè)所述程序樣本運(yùn)行中是否存在創(chuàng)建定時(shí)任務(wù)的操作；在所述程序樣本運(yùn)行中存在創(chuàng)建定時(shí)任務(wù)的操作的情況下，觸發(fā)創(chuàng)建的所述定時(shí)任務(wù)提前執(zhí)行。

結(jié)合第一方面，在第一方面的第一種可能的實(shí)現(xiàn)方式中，所述監(jiān)測(cè)所述程序樣本運(yùn)行中是否存在創(chuàng)建定時(shí)任務(wù)的操作包括：監(jiān)測(cè)所述程序樣本對(duì)預(yù)設(shè)API(ApplicationProgramming Interface，應(yīng)用程序編程接口)函數(shù)和/或預(yù)設(shè)系統(tǒng)命令的調(diào)用；根據(jù)監(jiān)測(cè)到的調(diào)用情況，確定所述程序樣本運(yùn)行中是否存在創(chuàng)建定時(shí)任務(wù)的操作。

結(jié)合第一方面的第一種可能的實(shí)現(xiàn)方式，在第一方面的第二種可能的實(shí)現(xiàn)方式中，所述監(jiān)測(cè)所述程序樣本對(duì)預(yù)設(shè)API函數(shù)和/或預(yù)設(shè)系統(tǒng)命令的調(diào)用包括：通過對(duì)所述預(yù)設(shè)API函數(shù)注冊(cè)的監(jiān)測(cè)函數(shù)，監(jiān)測(cè)所述程序樣本對(duì)所述預(yù)設(shè)API函數(shù)的調(diào)用；所述根據(jù)監(jiān)測(cè)到的調(diào)用情況，確定所述程序樣本運(yùn)行中是否存在創(chuàng)建定時(shí)任務(wù)的操作包括：在所述監(jiān)測(cè)函數(shù)被調(diào)用的情況下，確定所述程序樣本運(yùn)行中存在創(chuàng)建定時(shí)任務(wù)的操作。

結(jié)合第一方面的第一種可能的實(shí)現(xiàn)方式，在第一方面的第三種可能的實(shí)現(xiàn)方式中，所述監(jiān)測(cè)所述程序樣本對(duì)預(yù)設(shè)API函數(shù)和/或預(yù)設(shè)系統(tǒng)命令的調(diào)用包括：通過對(duì)預(yù)設(shè)系統(tǒng)命令的衍生進(jìn)程的監(jiān)測(cè)，監(jiān)測(cè)所述程序樣本對(duì)所述預(yù)設(shè)系統(tǒng)命令的調(diào)用；所述根據(jù)監(jiān)測(cè)到的調(diào)用情況，確定所述程序樣本運(yùn)行中是否存在創(chuàng)建定時(shí)任務(wù)的操作包括：在所述衍生進(jìn)程中包括創(chuàng)建定時(shí)任務(wù)的命令的情況下，確定所述程序樣本運(yùn)行中存在創(chuàng)建定時(shí)任務(wù)的操作。

結(jié)合第一方面，在第一方面的第四種可能的實(shí)現(xiàn)方式中，所述在所述程序樣本運(yùn)行中存在創(chuàng)建定時(shí)任務(wù)的操作的情況下，觸發(fā)創(chuàng)建的所述定時(shí)任務(wù)提前執(zhí)行包括：在所述程序樣本運(yùn)行中存在創(chuàng)建定時(shí)任務(wù)的操作的情況下，直接調(diào)用實(shí)現(xiàn)所述定時(shí)任務(wù)的API函數(shù)，以觸發(fā)所述定時(shí)任務(wù)提前執(zhí)行，或者修改所述定時(shí)任務(wù)的定時(shí)參數(shù)，以觸發(fā)所述定時(shí)任務(wù)提前執(zhí)行，或者向所述定時(shí)任務(wù)發(fā)送模擬觸發(fā)信號(hào)，以觸發(fā)所述定時(shí)任務(wù)提前執(zhí)行，或者修改系統(tǒng)時(shí)間，以觸發(fā)所述定時(shí)任務(wù)提前執(zhí)行。

第二方面，本發(fā)明的實(shí)施例還提供一種沙箱分析裝置，包括：監(jiān)測(cè)單元，運(yùn)行輸入沙箱的程序樣本并監(jiān)測(cè)所述程序樣本運(yùn)行中是否存在創(chuàng)建定時(shí)任務(wù)的操作；觸發(fā)單元，用于在所述監(jiān)測(cè)單元監(jiān)測(cè)到所述程序樣本運(yùn)行中存在創(chuàng)建定時(shí)任務(wù)的操作的情況下，觸發(fā)創(chuàng)建的所述定時(shí)任務(wù)提前執(zhí)行。