本發明公開了一種基于PE虛擬沙盒實現.NET虛擬沙盒的方法，共包括七個步驟，本發明與現有技術相比的優點在于：通過提供基于PE虛擬沙盒來保障惡意程序識別過程的安全性，該沙盒為Windows系統PE格式的可執行程序提供虛擬仿真的運行環境，既保障程序正確執行，又防止其產生逃逸，威脅到真實運行環境。

技術領域

本發明涉及信息安全領域，具體是指一種基于PE虛擬沙盒實現.NET虛擬沙盒的方法。

背景技術

目前在信息安全領域中，基于.NET技術的惡意程序不斷涌現，其混淆手法層出不窮，給病毒查殺帶來極大挑戰。.NET是由微軟公司主導開發，是一種用于構建多種應用的免費開源開發平臺。

發明內容

本發明要解決的技術問題是.NET技術具有強大的系統互操作能力且易于混淆代碼，隱藏真實操作意圖，而成為惡意代碼主要宿生平臺，此類惡意程序主要表現為混淆程度深，靜態檢測難度大，對動態跟蹤調試有對抗性，鑒于此，本發明提供一種安全可控，動態執行，暴露與識別惡意程序的方法。

為解決上述技術問題，本發明提供的技術方案為：一種基于PE虛擬沙盒實現.NET虛擬沙盒的方法，包括以下步驟：

第一步，啟動基于PE的虛擬沙盒，構建封閉，防逃逸的運行環境；

第二步，載入并初始化.NET虛擬沙盒；

第三步，載入并運行被檢測的.NET程序；

第四步，監測并記錄.NET程序運行過程中產出的文件及API調用，直至程序退出；

第五步，根據第四步產出，判定此次檢測結果，判定依據包含且不限于：

1)其運行過程中調用過哪些API；

2)請求和/或訪問過哪些系統資源；

3)產出文件有哪些特征，是否包含敏感字段，是否是已知的惡意程序；

4)是否刪除/篡改沙盒(與真實系統一致)內重要的文件；

5)是否訪問已知惡意網絡站點，下載已知惡意程序；

6)是否記錄用戶輸入設備(鍵盤等)；

7)其他疑似對系統造成破壞/泄露的行為；

第六步，如果第五步檢測判定為惡意程序，給出惡意程序類別，檢測結束；

第七步，如果第五步檢測判定為可信程序，給出判定結果，檢測結束。

本發明與現有技術相比的優點在于：通過提供基于PE虛擬沙盒來保障惡意程序識別過程的安全性，該沙盒為Windows系統PE格式的可執行程序提供虛擬仿真的運行環境，既保障程序正確執行，又防止其產生逃逸，威脅到真實運行環境。

進一步的，第四步的.NET程序運行過程如下：

1).NET程序調用的.NET API被.NET虛擬沙盒記錄；

2).NET虛擬沙盒運行過程中調用的操作系統API被PE虛擬沙盒記錄；

3).NET程序創建/訪問/修改/刪除文件功能由.NET API，操作系統API提供并執行，執行結果存在于PE虛擬沙盒內。可通過PE虛擬沙盒API獲取/訪問；

4).NET程序執行周期內對系統資源的訪問/修改，由.NET API，操作系統API提供并執行。執行結果存在于PE虛擬沙盒內，可通過PE虛擬沙盒API獲取/訪問。

附圖說明

圖1是一種基于PE虛擬沙盒實現.NET虛擬沙盒的方法的層次結構示意圖。