本發明公開一種文件檢測方法及文件檢測裝置，所述方法包括：啟動進入沙箱模式；在所述沙箱模式下獲取文件樣本；對所述文件樣本進行符號執行，同時監測所述符號執行中生成的輸入數據以及對應的所述文件樣本的路徑約束；在根據所生成的輸入數據確定遍歷了所述文件樣本的所有路徑約束時，退出所述沙箱模式。根據本發明的實施例的文件檢測方法，可以在遍歷了文件樣本的所有路徑約束時退出沙箱模式，因此在最大化截獲文件樣本的行為的同時確保了沙箱結束的時機。

技術領域

本申請實施例涉及智能設備領域，特別涉及一種文件檢測方法和文件檢測裝置。

背景技術

Sandbox(沙箱技術)技術廣泛應用于惡意代碼分析、主動防御等領域，它的原理是通過Hook(截獲)等手段虛擬一個完整的運行環境，供未知行為的可執行文件運行，其運行的行為不會對真實的操作系統產生任何改變。通常，沙箱技術的典型運行邏輯為：1)啟動沙箱運行。2)啟動樣本運行，并設置一個定時器，沙箱開始截獲樣本的行為。3)定時器被觸發，終止沙箱運行，并清理沙箱運行痕跡。

從上述的運行邏輯可知，一個樣本運行的生命周期是固定的，沙箱在樣本的運行過程中對樣本本身進行的行為只是截獲，而不會進行干預。因此這種沙箱運行模式會造成如下問題：1)如果沙箱提供的虛擬環境沒有滿足樣本的某些運行要求，則該樣本可能會終止某些功能的觸發，甚至直接退出。2)如果預設的定時器被觸發，而樣本當前正在運行，則該樣本會被強制終止運行，如此一來會使沙箱的截獲行為不能完成。

申請內容

本申請提供了一種文件檢測方法和文件檢測裝置，能夠更有效地確保文件樣本的檢測及運行正常。

為了解決上述技術問題，本申請實施例提供了一種文件檢測方法，包括：

啟動進入沙箱模式；

在所述沙箱模式下獲取文件樣本；

對所述文件樣本進行符號執行，同時監測所述符號執行操作中生成的輸入數據及對應的所述文件樣本的路徑約束；

在根據所生成的所述輸入數據確定遍歷了所述文件樣本的所有路徑約束時，退出所述沙箱模式。

作為優選，所述監測所述符號執行中生成的輸入數據以及對應的所述文件樣本的路徑約束，包括：

將所述符號執行中生成的輸入數據以及對應的所述文件樣本的路徑約束存儲在數據庫中；

所述方法還包括：利用所述輸入數據對所述數據庫中存儲的所述文件樣本的所有路徑約束進行反向求解。

作為優選，還包括：

將求解出的對應于網絡應用程序接口的值輸入到所述網絡應用程序接口。

作為優選，所述監測對應的所述文件樣本的路徑約束，包括：

利用圖形用戶界面模塊中的事件分發器監測交互記錄；

所述方法還包括：根據所述交互記錄進行反向求解。

作為優選，還包括：

響應所述文件樣本的檢測進程而進行模擬執行；

基于所述符號執行和所述模擬執行來確定所述文件樣本所需的運行環境。

本申請實施例同時提供一種文件檢測裝置，包括：

沙箱模塊，用于啟動進入沙箱模式；

檢測模塊，用于在所述沙箱模式下獲取文件樣本；

符號執行模塊，用于由所述檢測模塊調用而對所述文件樣本進行符號執行，同時監測所述符號執行中生成的輸入數據以及對應的所述文件樣本的路徑約束；