本發(fā)明的實(shí)施例公開(kāi)一種監(jiān)控程序的方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)，涉及計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域，能夠在宿主機(jī)上實(shí)現(xiàn)對(duì)樣本程序更全面的監(jiān)控。所述監(jiān)控程序的方法，應(yīng)用于宿主機(jī)，該方法包括：判斷當(dāng)前客戶機(jī)中樣本程序是否執(zhí)行到的分支節(jié)點(diǎn)；當(dāng)客戶機(jī)中的樣本程序執(zhí)行到分支節(jié)點(diǎn)時(shí)，獲取所述分支節(jié)點(diǎn)對(duì)應(yīng)分支狀態(tài)信息，所述分支狀態(tài)信息包括多個(gè)分支對(duì)應(yīng)的跳轉(zhuǎn)條件以及跳轉(zhuǎn)地址；根據(jù)所述分支狀態(tài)信息，執(zhí)行每個(gè)分支并采集執(zhí)行過(guò)程中的行為數(shù)據(jù)直至所述分支節(jié)點(diǎn)中包含的所述多個(gè)分支均執(zhí)行完成。本發(fā)明適用于對(duì)客戶機(jī)中運(yùn)行的樣本程序的監(jiān)控。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及一種監(jiān)控程序的方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)

沙箱(Sandboxie)，又名沙盤(pán)，是一種按照安全策略限制程序行為的執(zhí)行環(huán)境，它允許用戶在沙箱環(huán)境中運(yùn)行程序，運(yùn)行所產(chǎn)生的變化可以隨后刪除。通過(guò)在沙箱環(huán)境中運(yùn)行程序，可以檢測(cè)程序中是否存在惡意行為，當(dāng)發(fā)現(xiàn)程序中存在惡意行為時(shí)可以發(fā)出告警。

在實(shí)現(xiàn)本發(fā)明的過(guò)程中，發(fā)明人發(fā)現(xiàn)目前在沙箱系統(tǒng)對(duì)惡意軟件的分析中，當(dāng)樣本程序在沙箱中運(yùn)行時(shí)，如果該樣本程序的執(zhí)行邏輯中存在選擇分支，但沙箱系統(tǒng)只能根據(jù)當(dāng)前的執(zhí)行環(huán)境選擇一個(gè)分支進(jìn)行執(zhí)行，其余分支的邏輯就不會(huì)被執(zhí)行，出現(xiàn)對(duì)樣本程序的漏檢，就會(huì)遺漏掉其余分支上的重要行為。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實(shí)施例提供一種監(jiān)控程序的方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)，能夠在宿主機(jī)上實(shí)現(xiàn)對(duì)樣本程序更全面的監(jiān)控。

第一方面，本發(fā)明實(shí)施例提供一種監(jiān)控程序的方法，應(yīng)用于宿主機(jī)，該方法包括：判斷當(dāng)前客戶機(jī)中樣本程序是否執(zhí)行到的分支節(jié)點(diǎn)；當(dāng)客戶機(jī)中的樣本程序執(zhí)行到分支節(jié)點(diǎn)時(shí)，獲取所述分支節(jié)點(diǎn)對(duì)應(yīng)分支狀態(tài)信息，所述分支狀態(tài)信息包括多個(gè)分支對(duì)應(yīng)的跳轉(zhuǎn)條件以及跳轉(zhuǎn)地址；根據(jù)所述分支狀態(tài)信息，執(zhí)行每個(gè)分支并采集執(zhí)行過(guò)程中的行為數(shù)據(jù)直至所述分支節(jié)點(diǎn)中包含的所述多個(gè)分支均執(zhí)行完成。

結(jié)合第一方面，在第一方面的第一種實(shí)施方式中，所述判斷當(dāng)前是否執(zhí)行到客戶機(jī)中樣本程序的分支節(jié)點(diǎn)，包括：獲取當(dāng)前被調(diào)用的應(yīng)用程序接口API以及樣本程序的地址空間；當(dāng)調(diào)用所述API的函數(shù)地址位于所述樣本程序的地址空間內(nèi)，且所述API為第一類(lèi)API時(shí)，確定所述客戶機(jī)中的樣本程序執(zhí)行到分支節(jié)點(diǎn)，所述第一類(lèi)API為樣本程序中執(zhí)行分支邏輯時(shí)被調(diào)用的API。

結(jié)合第一方面，在第一方面的第二種實(shí)施方式中，所述判斷當(dāng)前是否執(zhí)行到客戶機(jī)中樣本程序的分支節(jié)點(diǎn)，包括：檢測(cè)當(dāng)前運(yùn)行的應(yīng)用程序是否為樣本程序；在當(dāng)前運(yùn)行的應(yīng)用程序?yàn)闃颖境绦颍医孬@的客戶機(jī)當(dāng)前執(zhí)行的指令為第一類(lèi)指令時(shí)，確定所述客戶機(jī)中的樣本程序執(zhí)行到分支節(jié)點(diǎn)，所述第一類(lèi)指令為樣本程序中用于執(zhí)行分支邏輯的選擇指令。

結(jié)合第一方面、第一方面的第一種或第二種實(shí)施方式，在第一方面的第三種實(shí)施方式中，所述判斷當(dāng)前是否執(zhí)行到客戶機(jī)中樣本程序的分支節(jié)點(diǎn)之前，還包括：建立樣本程序需要監(jiān)控的分支選擇行為的集合，所述集合包括第一類(lèi)API和/或第一類(lèi)指令。

結(jié)合第一方面、第一方面的第一種或第二種實(shí)施方式，在第一方面的第四種實(shí)施方式中，所述根據(jù)所述分支狀態(tài)信息，執(zhí)行每個(gè)分支并采集執(zhí)行過(guò)程中的行為數(shù)據(jù)直至所述分支節(jié)點(diǎn)中包含的所述多個(gè)分支均執(zhí)行完成之前，還包括：當(dāng)客戶機(jī)中的樣本程序執(zhí)行到分支節(jié)點(diǎn)時(shí)，保存當(dāng)前指令執(zhí)行現(xiàn)場(chǎng)信息，所述指令執(zhí)行現(xiàn)場(chǎng)信息包括指針地址、棧地址以及寄存器的當(dāng)前狀態(tài)；所述根據(jù)所述分支狀態(tài)信息，執(zhí)行每個(gè)分支并采集執(zhí)行過(guò)程中的行為數(shù)據(jù)直至所述分支節(jié)點(diǎn)中包含的所述多個(gè)分支均執(zhí)行完成，包括：根據(jù)所述分支狀態(tài)信息以及所述當(dāng)前指令執(zhí)行現(xiàn)場(chǎng)信息，執(zhí)行每個(gè)分支并采集執(zhí)行過(guò)程中的行為數(shù)據(jù)直至所述分支節(jié)點(diǎn)中包含的所述多個(gè)分支均執(zhí)行完成。