本發(fā)明提供了一種沙箱報(bào)告過(guò)濾方法和裝置，所述方法包括以下步驟：在預(yù)設(shè)操作環(huán)境下運(yùn)行樣本文件；獲取運(yùn)行該樣本文件時(shí)產(chǎn)生的第一信息；基于預(yù)設(shè)準(zhǔn)則對(duì)所述第一信息進(jìn)行過(guò)濾處理，形成第二信息；基于所述第二信息形成分析報(bào)告。本發(fā)明可以解決現(xiàn)有技術(shù)會(huì)漏掉一些操作系統(tǒng)自身的網(wǎng)絡(luò)信息，也會(huì)誤攔截一些樣本本身的網(wǎng)絡(luò)信息的問(wèn)題。

技術(shù)領(lǐng)域

本發(fā)明涉及惡意軟件分析領(lǐng)域，特別涉及一種沙箱報(bào)告過(guò)濾方法和裝置。

背景技術(shù)

沙箱系統(tǒng)即自動(dòng)化惡意軟件分析系統(tǒng)，目前主要用于分析Windows平臺(tái)下的惡意軟件，但其框架同時(shí)支持Linux和Mac OS。它能夠跟蹤惡意軟件進(jìn)程及其產(chǎn)生的所有進(jìn)程的win32API調(diào)用記錄；檢測(cè)惡意軟件的文件創(chuàng)建、刪除和下載；能夠獲取惡意軟件進(jìn)程的內(nèi)存鏡像；能夠獲取系統(tǒng)全部?jī)?nèi)存鏡像，方便其他工具進(jìn)行進(jìn)一步分析；能夠以pacp格式抓取網(wǎng)絡(luò)數(shù)據(jù)；能夠抓取惡意軟件運(yùn)行時(shí)的截圖。

沙箱系統(tǒng)工作原理如下：當(dāng)把一個(gè)樣本文件提交到沙箱系統(tǒng)時(shí)，沙箱系統(tǒng)首先會(huì)利用虛擬機(jī)軟件啟動(dòng)一個(gè)事先設(shè)置的真實(shí)的Windows系統(tǒng)環(huán)境，然后把樣本文件放入其中并讓其運(yùn)行。在樣本文件運(yùn)行過(guò)程中，沙箱系統(tǒng)會(huì)利用事先布置好的各種系統(tǒng)探針來(lái)獲取樣本文件的各種操作信息。在分析結(jié)束的時(shí)候沙箱系統(tǒng)會(huì)回收這些信息并整理成為一個(gè)可讀的分析報(bào)告。最后會(huì)把這份分析報(bào)告進(jìn)行存儲(chǔ)。

沙箱系統(tǒng)在分析樣本文件的過(guò)程中產(chǎn)生的網(wǎng)絡(luò)信息，這其中包含沙箱系統(tǒng)所使用的操作系統(tǒng)本身產(chǎn)生的網(wǎng)絡(luò)信息和樣本文件在運(yùn)行時(shí)產(chǎn)生的網(wǎng)絡(luò)信息。這兩部分網(wǎng)絡(luò)信息通常是雜糅在一起的，并且會(huì)被存儲(chǔ)在原始分析報(bào)告之中。這其中沙箱系統(tǒng)所使用的操作系統(tǒng)產(chǎn)生的網(wǎng)絡(luò)信息，它會(huì)干擾到后續(xù)的分析工作。現(xiàn)有技術(shù)通常是使用一些技術(shù)手段在樣本文件執(zhí)行過(guò)程中盡量攔截掉操作系統(tǒng)本身的行為信息，不讓這部分操作系統(tǒng)本身的行為信息寫(xiě)入到分析報(bào)告之中。從中可以發(fā)下現(xiàn)有技術(shù)的實(shí)現(xiàn)難度大，而且效果不好，通常會(huì)漏掉一些操作系統(tǒng)自身的網(wǎng)絡(luò)信息，也會(huì)誤攔截一些樣本本身的網(wǎng)絡(luò)信息。

發(fā)明內(nèi)容

有鑒于上述技術(shù)問(wèn)題，本發(fā)明提供了一種沙箱報(bào)告過(guò)濾方法和裝置，包括以下步驟：

一種沙箱報(bào)告過(guò)濾方法，其包括：

在預(yù)設(shè)操作環(huán)境下運(yùn)行樣本文件；

獲取運(yùn)行該樣本文件時(shí)產(chǎn)生的第一信息；

基于預(yù)設(shè)準(zhǔn)則對(duì)所述第一信息進(jìn)行過(guò)濾處理，形成第二信息；

基于所述第二信息形成分析報(bào)告。

在一優(yōu)選實(shí)施例中，在預(yù)設(shè)操作環(huán)境下運(yùn)行樣本文件之前還包括：

獲取樣本文件。

在一優(yōu)選實(shí)施例中，獲取運(yùn)行該樣本文件時(shí)產(chǎn)生的第一信息包括下述至少一種：

獲取運(yùn)行所述樣本文件時(shí)產(chǎn)生API調(diào)用記錄、截圖揭記錄以及網(wǎng)絡(luò)數(shù)據(jù)記錄；

檢測(cè)運(yùn)行所述樣本文件時(shí)文件的刪除記錄、新建記錄和下載記錄；

獲取樣本文件的內(nèi)存鏡像；

獲取運(yùn)行樣本文件時(shí)系統(tǒng)全部?jī)?nèi)存鏡像。

在一優(yōu)選實(shí)施例中，基于預(yù)設(shè)準(zhǔn)則對(duì)所述第一信息進(jìn)行過(guò)濾處理，形成第二信息包括：

獲取所述樣本文件運(yùn)行過(guò)程中的行為信息；

過(guò)濾所述行為信息中由于操作系統(tǒng)自身的網(wǎng)絡(luò)行為信息；

基于保留的由于樣本文件產(chǎn)生的網(wǎng)絡(luò)行為信息形成第二信息。

在一優(yōu)選實(shí)施例中，所述方法還包括：

在滿(mǎn)足預(yù)設(shè)條件時(shí)，存儲(chǔ)所述分析報(bào)告。

在一優(yōu)選實(shí)施例中，在滿(mǎn)足預(yù)設(shè)條件時(shí)，存儲(chǔ)所述分析報(bào)告包括：