本發明公開了一種應用程序沙箱反逃逸方法和電子設備，其中所述方法包括：獲取來自可疑程序的API調用；判斷所述API調用是否為預定API調用；如是，則攔截預定API調用，并向該API調用返回一個偽造的API返回值，以過濾該可疑程序對沙箱環境的檢測行為。本發明便可繞過可疑程序對該虛擬環境進行偵測和保證改可疑程序的正常執行，并通過偽造的返回值使可疑程序執行真正的惡意功能，以便對惡意樣本進行更詳細的分析，從而產出更多的威脅情報、提升惡意樣本的檢測能力，從而幫助企業識別該惡意程序和并且幫助分析人員更便捷的理解樣本的行為。

技術領域

本發明涉及計算機安全技術領域，特別涉及一種應用程序沙箱反逃逸方法和電子設備。

背景技術

應用程序沙箱是一種按照安全策略限制程序行為的執行環境。早期主要用于測試可疑軟件等，比如黑客們為了試用某種病毒或者不安全產品，往往可以將它們在沙箱環境中運行。

經典的沙箱系統的實現途徑一般是通過攔截系統調用，監視程序行為，然后依據用戶定義的策略來控制和限制程序對計算機資源的使用，比如改寫注冊表，讀寫磁盤等。

現有的沙箱反逃逸技術普遍的在應用層做攔截和通過修改已知特征的方式一對一的針對每一種逃逸技術做對應的處理，既費時覆蓋范圍又窄。

發明內容

有鑒于現有的沙箱反逃逸技術既費時覆蓋范圍又窄的問題，本發明提供了一種應用程序沙箱反逃逸方法和電子設備。

為了解決上述技術問題，本發明實施例提供了如下的技術方案。

一種應用程序沙箱反逃逸方法，其包括：

獲取來自可疑程序的API調用；

判斷所述API調用是否為預定API調用；

如是，則攔截該API調用，并向該API調用返回一個偽造的API返回值，以過濾該可疑程序對沙箱環境的檢測行為。

優選地，如果所述API調用為非預定API調用，則執行所述API調用并返回正常的API返回值。

優選地，所述預定API調用包括用于實現以下功能的API中的一個或多個：打開相關注冊表路徑過濾、查詢注冊表過濾、重命名注冊表過濾、替換注冊表鍵過濾、修改注冊表過濾、打開文件過濾、查詢窗口過濾、查找窗口擴展函數過濾、打開注冊表鍵過濾、打開進程過濾、查找進程過濾、打開互斥過濾、查詢文件屬性過濾、打開文件過濾、查詢系統信息過濾、查詢進程相關信息過濾、查詢文件和目錄過濾、查詢文件卷信息過濾、向指定設備發送控制碼獲取信息過濾、打開指定驅動的符號鏈接過濾。

優選地，所述預定API調用為系統API調用。

優選地，所述判斷所述API調用是否為預定API調用；如是，則攔截該API調用，并向該API調用返回一個偽造的API返回值包括：判斷所述API調用用于查詢磁盤容量的預定API調用；

如是，則返回一偽造的磁盤容量值。

另外，本發明實施例還提供了一種電子設備，該電子設備可以應用如上述實施例所述的一種應用程序沙箱反逃逸方法，并且所述電子設備包括：

處理器，其配置為獲取來自可疑程序的API調用，并判斷所述API調用是否為預定API調用；如是，則攔截該API調用，并向該API調用返回一個偽造的API返回值，以過濾該可疑程序對沙箱環境的檢測行為。

優選地，所述處理器還配置為如果所述API調用為非預定API調用，則執行所述API調用并返回正常的API返回值。