基于函数注入的沙箱拦截识别方法

StepPeng33

摘 要：沙箱验证机制的测试需要首先识别沙箱拦截，即识别沙箱截获的系统函数集。已有的 Hook 识别方法大多
: Z4 I% Q) O3 T1 M0 G) n( A仅关注钩子的存在性，识别沙箱拦截的能力不足。该文设计了一种基于函数注入的沙箱拦截识别方法，该方法分析
" q# Q6 W' d# a系统函数的指令执行记录(Trace)来识别沙箱截获的系统函数。首先，向不可信进程注入并执行系统函数来获取函
数的执行记录；其次，根据沙箱截获系统函数执行记录的特点，设计了地址空间有限状态自动机，并在自动机内分
析获取的执行记录来判别沙箱截获的系统函数；最后，遍历测试函数集来识别目标沙箱截获的系统函数集。该文设
% J" b/ A& w5 `5 d& }计实现了原型系统 SIAnalyzer，并对 Chromium 和 Adobe Reader 进行了沙箱拦截识别测试，测试结果验证了方法
的有效性和实用性。
关键词：沙箱拦截；系统函数集；钩子；函数注入；自动机
2 s# R$ m7 F+ I1 Y3 k

; k: V# y# J! _% W
/ r  i( ~- r! ^* k+ ]3 d( A) I6 ~
" A5 j. g# B! w5 `附件下载：

游客，如果您要查看本帖隐藏内容请回复

3 r  d; ?- i4 H( C  {0 K5 A4 N/ s& I

land

谢谢分享