|
|
EDA365欢迎您登录!
您需要 登录 才可以下载或查看,没有帐号?注册
x
摘 要:沙箱验证机制的测试需要首先识别沙箱拦截,即识别沙箱截获的系统函数集。已有的 Hook 识别方法大多8 j5 v5 W. x9 F" d
仅关注钩子的存在性,识别沙箱拦截的能力不足。该文设计了一种基于函数注入的沙箱拦截识别方法,该方法分析
- z( [/ U3 K9 @0 I6 w) H, f% {系统函数的指令执行记录(Trace)来识别沙箱截获的系统函数。首先,向不可信进程注入并执行系统函数来获取函
5 G4 s; A0 W' j+ b: [数的执行记录;其次,根据沙箱截获系统函数执行记录的特点,设计了地址空间有限状态自动机,并在自动机内分
& M& @0 L! z3 l h析获取的执行记录来判别沙箱截获的系统函数;最后,遍历测试函数集来识别目标沙箱截获的系统函数集。该文设
, v& R8 S0 S. w% E! r计实现了原型系统 SIAnalyzer,并对 Chromium 和 Adobe Reader 进行了沙箱拦截识别测试,测试结果验证了方法
% p# d- D, [5 Z的有效性和实用性。$ D: z; e/ m8 C6 Q
关键词:沙箱拦截;系统函数集;钩子;函数注入;自动机
- |+ Z8 T' }5 J6 O5 Z: |- }9 A9 j$ r( X9 g& `
2 i, M$ _9 u6 r: `4 n: \
5 J$ G% ?9 O% ~1 D" [* G3 U. z# J) O; f- [( L
附件下载:
0 c" z8 T! o5 ?( [0 t2 `3 c" H
|
|
/1 
发表于 2021-6-11 11:04
收藏
淘帖
支持!
反对!