一种目标样本文件的检测方法和装置与流程
本发明涉及互联网技术领域,具体涉及一种目标样本文件的检测方法和装置。
背景技术:
随着互联网技术的不断发展,人们对于网络的使用愈加频繁,通过网络可以进行工作、学习、生活、娱乐等多方面的事宜,给人们带来了极大的便利。然而,当前互联网技术中存在系统级的内核漏洞,这些漏洞给恶意开发者以可乘之机,恶意开发者们通过威胁样本文件利用这些漏洞对各种客户端、服务端所在的终端进行攻击,获取用户的个人信息,威胁用户的信息安全,给用户的人身、财产等方面损失。其中特别地,恶意开发者们在通过威胁样本文件进行漏洞利用的过程中,常常以系统内核的位图对象作为中间目标,通过对位图对象的属性的修改来实现可重复的内核态任意地址读写的目的,进而获取系统级权限以执行非法操作。
因此,如何有效、全面地对互联网中进行漏洞利用攻击的可疑样本进行挖掘、检测和处理,是当前亟待解决的重要问题。
技术实现要素:
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的目标样本文件的检测方法和装置。
依据本发明的一个方面,提供了一种目标样本文件的检测方法,包括:
从数据源接收目标样本文件,将所述目标样本文件投放到沙箱中运行;
在所述目标样本文件在沙箱中运行的过程中,监听沙箱内核中是否发生位图对象属性修改事件;
是则,确定所述目标样本文件是威胁样本文件;
否则,确定所述目标样本文件不是威胁样本文件。
可选地,所述监听沙箱内核中是否发生位图对象属性修改事件包括:
监听沙箱内核中原始的位图对象的指定属性是否被修改的事件,是则,确定沙箱内核中发生位图对象属性修改事件。
可选地,所述监听沙箱内核中原始的位图对象的指定属性是否被修改的事件包括:
在对沙箱内核中原始的位图对象进行操作的第一函数上挂载钩子函数;
当所述第一函数被调用时,利用所述钩子函数拦截所述第一函数的调用指令;
判断所述调用指令是否指示对沙箱内核中原始的位图对象的指定属性进行修改操作;
是则,确定监听到沙箱内核中原始的位图对象的指定属性被修改的事件,利用所述钩子函数强制结束所述调用指令;否则,利用所述钩子函数放行所述调用指令。
可选地,所述对沙箱内核中原始的位图对象的指定属性进行修改操作包括:
将沙箱内核中一个或多个原始的位图对象的指定属性位对应的数据修改为用户空间的地址的操作。
可选地,所述对沙箱内核中原始的位图对象的指定属性进行修改操作包括:
对沙箱内核中一个原始的位图对象的头部中的buffer指针和长度进行修改,使其指向另一个原始的位图对象;
将该原始的位图对象的指定属性位对应的数据修改为其它读写地址;以及,将该原始的位图对象所指向的另一个原始的位图对象的指定属性位修改为其它读写内容。
可选地,所述监听沙箱内核中是否发生位图对象属性修改事件包括:
监听所述目标样本文件新建位图文件的事件;
当监听到所述目标样本文件新建位图文件的事件时,获取所述目标样本文件所新建的每个位图文件在沙箱内核中对应的新建的位图对象;
监听沙箱内核中新建的位图对象的指定属性是否被修改的事件,是则,确定沙箱内核中发生位图对象属性修改事件。
可选地,所述将所述目标样本文件投放到沙箱中运行包括:
在沙箱中创建所述目标样本文件对应的进程,通过该进程执行所述目标样本文件在沙箱中的运行;在创建所述目标样本文件对应的进程时,将该进程的标识信息记录到监控列表中;
则所述监听所述目标样本文件新建位图文件的事件包括:监听新建位图文件的事件;当监听到新建位图文件的事件时,获取该新建位图文件的事件的执行进程的标识信息,判断所获取的标识信息是否命中所述监控列表;是则,确定监听到所述目标样本文件新建位图文件的事件。
可选地,所述监听沙箱内核中新建的位图对象的指定属性是否被修改的事件包括:
在对所述新建的位图对象进行操作的第二函数上挂载钩子函数;
当所述第二函数被调用时,利用所述钩子函数拦截所述第二函数的调用指令;
判断所述调用指令是否指示对沙箱内核中新建的位图对象的指定属性进行修改操作;
是则,确定监听到沙箱内核中新建的位图对象的指定属性被修改的事件,利用所述钩子函数强制结束所述调用指令;否则,利用所述钩子函数放行所述调用指令。
可选地,所述对沙箱内核中新建的位图对象的指定属性进行修改操作包括:
将沙箱内核中一个或多个新建的位图对象的指定属性位对应的数据修改为用户空间的地址的操作。
可选地,所述对沙箱内核中新建的位图对象的指定属性进行修改操作包括:
对沙箱内核中一个新建的位图对象的头部中的buffer指针和长度进行修改,使其指向另一个新建的位图对象;
将该新建的位图对象的指定属性位对应的数据修改为其它读写地址;以及,将该新建的位图对象所指向的另一个新建的位图对象的指定属性位修改为其它读写内容。
可选地,该方法进一步包括:
记录所述目标样本文件在沙箱中运行的运行日志;
当确定所述目标样本文件是威胁样本文件时,根据所述目标样本文件在沙箱中运行的运行日志获得所述目标样本文件相关的特征信息;
将所述目标样本相关的特征信息放入威胁数据库中。
可选地,所述目标样本文件相关的特征信息包括:
目标样本文件的静态特征信息,
和/或,
目标样本文件的行为特征信息。
可选地,该方法进一步包括:
将所述目标样本相关的特征信息反馈给数据源。
依据本发明的另一个方面,提供了一种目标样本文件的检测装置,包括:
样本接收单元,适于从数据源接收目标样本文件;
检测处理单元,适于将所述目标样本文件投放到沙箱中运行;在所述目标样本文件在沙箱中运行的过程中,监听沙箱内核中是否发生位图对象属性修改事件;是则,确定所述目标样本文件是威胁样本文件;否则,确定所述目标样本文件不是威胁样本文件。
可选地,所述检测处理单元,适于监听沙箱内核中原始的位图对象的指定属性是否被修改的事件,是则,确定沙箱内核中发生位图对象属性修改事件。
可选地,所述检测处理单元,适于在对沙箱内核中原始的位图对象进行操作的第一函数上挂载钩子函数;当所述第一函数被调用时,利用所述钩子函数拦截所述第一函数的调用指令;判断所述调用指令是否指示对沙箱内核中原始的位图对象的指定属性进行修改操作;是则,确定监听到沙箱内核中原始的位图对象的指定属性被修改的事件,利用所述钩子函数强制结束所述调用指令;否则,利用所述钩子函数放行所述调用指令。
可选地,所述对沙箱内核中原始的位图对象的指定属性进行修改操作包括:将沙箱内核中一个或多个原始的位图对象的指定属性位对应的数据修改为用户空间的地址的操作。
可选地,所述对沙箱内核中原始的位图对象的指定属性进行修改操作包括:对沙箱内核中一个原始的位图对象的头部中的buffer指针和长度进行修改,使其指向另一个原始的位图对象;将该原始的位图对象的指定属性位对应的数据修改为其它读写地址;以及,将该原始的位图对象所指向的另一个原始的位图对象的指定属性位修改为其它读写内容。
可选地,所述检测处理单元,适于监听所述目标样本文件新建位图文件的事件;当监听到所述目标样本文件新建位图文件的事件时,获取所述目标样本文件所新建的每个位图文件在沙箱内核中对应的新建的位图对象;监听沙箱内核中新建的位图对象的指定属性是否被修改的事件,是则,确定沙箱内核中发生位图对象属性修改事件。
可选地,所述检测处理单元,适于在沙箱中创建所述目标样本文件对应的进程,通过该进程执行所述目标样本文件在沙箱中的运行;在创建所述目标样本文件对应的进程时,将该进程的标识信息记录到监控列表中;则所述监听所述目标样本文件新建位图文件的事件包括:监听新建位图文件的事件;当监听到新建位图文件的事件时,获取该新建位图文件的事件的执行进程的标识信息,判断所获取的标识信息是否命中所述监控列表;是则,确定监听到所述目标样本文件新建位图文件的事件。
可选地,所述检测处理单元,适于在对所述新建的位图对象进行操作的第二函数上挂载钩子函数;当所述第二函数被调用时,利用所述钩子函数拦截所述第二函数的调用指令;判断所述调用指令是否指示对沙箱内核中新建的位图对象的指定属性进行修改操作;是则,确定监听到沙箱内核中新建的位图对象的指定属性被修改的事件,利用所述钩子函数强制结束所述调用指令;否则,利用所述钩子函数放行所述调用指令。
可选地,所述对沙箱内核中新建的位图对象的指定属性进行修改操作包括:将沙箱内核中一个或多个新建的位图对象的指定属性位对应的数据修改为用户空间的地址的操作。
可选地,所述对沙箱内核中新建的位图对象的指定属性进行修改操作包括:
对沙箱内核中一个新建的位图对象的头部中的buffer指针和长度进行修改,使其指向另一个新建的位图对象;将该新建的位图对象的指定属性位对应的数据修改为其它读写地址;以及,将该新建的位图对象所指向的另一个新建的位图对象的指定属性位修改为其它读写内容。
可选地,所述检测处理单元,进一步适于记录所述目标样本文件在沙箱中运行的运行日志;当确定所述目标样本文件是威胁样本文件时,根据所述目标样本文件在沙箱中运行的运行日志获得所述目标样本文件相关的特征信息;将所述目标样本相关的特征信息放入威胁数据库中。
可选地,所述目标样本文件相关的特征信息包括:
目标样本文件的静态特征信息,
和/或,
目标样本文件的行为特征信息。
可选地,所述检测处理单元,进一步适于将所述目标样本相关的特征信息反馈给数据源。
由上述可知,本发明的技术方案将从数据源接收的目标样本文件投放到沙箱中进行检测,当检测出目标样本文件在沙箱中运行的过程中发生位图对象属性修改事件时,确定目标样本文件为威胁样本文件。本方案以沙箱作为虚拟载体运行目标样本文件,能够清晰地检测到目标样本文件的所有运行轨迹,全面分析得到目标样本文件相关的特征信息,根据目标样本文件相关的特征信息可以更为准确地判断所述目标样本文件在虚拟机中运行的过程中是否发生进程属性修改事件,进而确定出威胁样本文件,为后续信息安全防护提供参考和依据。上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的一种目标样本文件的检测方法的流程图;
图2示出了根据本发明一个实施例的一种目标样本文件的检测装置的示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的一种目标样本文件的检测方法的流程图。如图1所示,该方法包括:
步骤S110,从数据源接收目标样本文件,将所述目标样本文件投放到沙箱中运行。
步骤S120,在所述目标样本文件在沙箱中运行的过程中,监听沙箱内核中是否发生位图对象属性修改事件。
步骤S130,是则,确定所述目标样本文件是威胁样本文件。
步骤S140,否则,确定所述目标样本文件不是威胁样本文件。
可见,图1所示的方法将从数据源接收的目标样本文件投放到沙箱中进行检测,当检测出目标样本文件在沙箱中运行的过程中发生位图对象属性修改事件时,确定目标样本文件为威胁样本文件。本方案以沙箱作为虚拟载体运行目标样本文件,能够清晰地检测到目标样本文件的所有运行轨迹,全面分析得到目标样本文件相关的特征信息,根据目标样本文件相关的特征信息可以更为准确地判断所述目标样本文件在虚拟机中运行的过程中是否发生进程属性修改事件,进而确定出威胁样本文件,为后续信息安全防护提供参考和依据。
在本发明的一个实施例中,图1所示的方法进一步包括:记录所述目标样本文件在沙箱中运行的运行日志;当确定所述目标样本文件是威胁样本文件时,根据所述目标样本文件在沙箱中运行的运行日志获得所述目标样本文件相关的特征信息;将所述目标样本相关的特征信息放入威胁数据库中。
其中,通过分析目标样本文件对应的运行日志得到的目标样本文件相关的特征信息包括:目标样本文件的静态特征信息,和/或,目标样本文件的行为特征信息。也就是说,对于放入沙箱中运行的目标样本文件,无论是该目标样本文件的静态特征,还是该目标样本文件在运行过程中的动态行为特征,均可以被解构出来,均可以从本方案的视角观察到,即掌握了一个目标样本文件的完整的档案,进而对于该目标样本文件是不是具有威胁的威胁样本、如果是威胁样本如何对该可疑样本进行预防、查杀等问题均可以找到准确的答案。
随着本方案的不断实施,所掌握的目标样本文件的档案不断被完善,即威胁数据库中的数据不断被完善。在本发明的一个实施例中,上述将判定为威胁样本的目标样本文件相关的特征信息放入威胁数据库中包括:根据所述判定为威胁样本的可疑样本相关的特征信息对威胁数据库中原有的数据进行更新。
进一步地,图1所述的方法还可以将所述目标样本相关的特征信息反馈给数据源。可以看到,在本方案中,从数据源接收目标样本文件,对目标样本文件进行检测实现对威胁数据库的补充更新,威胁数据库向数据源推送补目标样本文件相关的特征信息,数据源根据该推送的目标样本文件相关的特征信息进行打点记录,更精确地拦截、记录目标样本文件,以及向威胁数据库反馈推送结果,形成了正反馈闭环,能够不断地扩充完善各种类型的目标样本文件的完整的特征信息的管理,目标样本文件的特征信息越完善清晰,越能够找到预防查杀威胁样本的策略,并可以及时将预防查杀威胁样本的策略统一推送到数据源中对于各个数据源的预防查杀策略进行统一的调整,建立起非常严密的安全防护机制,从更高的格局保障互联网信息安全。
在本发明的一个实施例中,图1所示方法的步骤S120监听沙箱内核中是否发生位图对象属性修改事件包括以下两种方案:
方案一,监听沙箱内核中原始的位图对象的指定属性是否被修改的事件,是则,确定沙箱内核中发生位图对象属性修改事件。
在本方案中,具体地,上述监听沙箱内核中原始的位图对象的指定属性是否被修改的事件包括:
步骤S121,在对沙箱内核中原始的位图对象进行操作的第一函数上挂载钩子函数。
步骤S122,当所述第一函数被调用时,利用所述钩子函数拦截所述第一函数的调用指令。
步骤S123,判断所述调用指令是否指示对沙箱内核中原始的位图对象的指定属性进行修改操作。
步骤S124,是则,确定监听到沙箱内核中原始的位图对象的指定属性被修改的事件,利用所述钩子函数强制结束所述调用指令;否则,利用所述钩子函数放行所述调用指令。
在现有技术中,很多恶意攻击者为了能够达到可重复的内核态任意地址读写这个目标,通常会使用win32k的位图bitmap对象作为中间目标进行间接性地提权,具体方式是:对于内核态内存中已有的原始的位图对象,猜测它们的位置,在猜测到位置之后试图通过重定向写技巧对原始的位图对象进行修改,包括将沙箱内核中一个或多个原始的位图对象的指定属性位对应的数据修改为用户空间的地址的操作;和/或,对沙箱内核中一个原始的位图对象的头部中的buffer指针和长度进行修改,使其指向另一个原始的位图对象;将该原始的位图对象的指定属性位对应的数据修改为其它读写地址,并将该原始的位图对象所指向的另一个原始的位图对象的指定属性位修改为其它读写内容。
针对上述攻击规律,本方案提出对修改系统内核中的原始的位图对象的事件进行监听,具体地,当监听到目标样本文件将沙箱内核中一个或多个原始的位图对象的指定属性位对应的数据修改为用户空间的地址的操作,或者,当监听到目标样本文件对沙箱内核中一个原始的位图对象的头部中的buffer指针和长度进行修改,使其指向另一个原始的位图对象;将该原始的位图对象的指定属性位对应的数据修改为其它读写地址;并将该原始的位图对象所指向的另一个原始的位图对象的指定属性位修改为其它读写内容的操作时,确定监听到沙箱内核中原始的位图对象的指定属性被修改的事件。
方案二,监听沙箱内核中新建的位图对象的指定属性是否被修改的事件,是则,确定沙箱内核中发生位图对象属性修改事件。
在现有技术中,很多恶意攻击者为了能够达到可重复的内核态任意地址读写这个目标,通常会使用win32k的位图bitmap对象作为中间目标进行间接性地提权,具体方式是:首先向内核态内存中spray大量的bitmap对象,然后猜测它们的位置,并试图通过上面的重定向写技巧修改它们的头部,当我成功地命中第一个bitmap对象后,通过修改它的头部中的buffer指针和长度,让其指向第二个bitmap对象。因此总共需要控制两个bitmap对象,第一个用来控制读写的地址,而第二个用来控制读写的内容。更详细地,一共向内核内存中spray了4GB的bitmap对象,首先通过喷射大尺寸的256MB的bitmap对象来锁定空间以及引导内存对齐,然后将它们逐个替换成1MB的小尺寸bitmap对象,这些对象肯定位于0x100000的边界处,就使得猜测它们的地址更加简单。其中,在猜测bitmap对象地址的过程中需要信息泄露来加快猜测速度,这是通过user32!gSharedInfo完成的。
针对上述攻击规律,本方案提出对修改系统内核中的新建的位图对象的事件进行监听,具体地,上述监听沙箱内核中是否发生位图对象属性修改事件包括:监听所述目标样本文件新建位图文件的事件;当监听到所述目标样本文件新建位图文件的事件时,获取所述目标样本文件所新建的每个位图文件在沙箱内核中对应的新建的位图对象;监听沙箱内核中新建的位图对象的指定属性是否被修改的事件,是则,确定沙箱内核中发生位图对象属性修改事件。
其中,所述将所述目标样本文件投放到沙箱中运行包括:在沙箱中创建所述目标样本文件对应的进程,通过该进程执行所述目标样本文件在沙箱中的运行;在创建所述目标样本文件对应的进程时,将该进程的标识信息记录到监控列表中;则所述监听所述目标样本文件新建位图文件的事件包括:监听新建位图文件的事件;当监听到新建位图文件的事件时,获取该新建位图文件的事件的执行进程的标识信息,判断所获取的标识信息是否命中所述监控列表;是则,确定监听到所述目标样本文件新建位图文件的事件。
具体地,上述监听沙箱内核中新建的位图对象的指定属性是否被修改的事件包括:
步骤S121’,在对所述新建的位图对象进行操作的第二函数上挂载钩子函数。
步骤S122’,当所述第二函数被调用时,利用所述钩子函数拦截所述第二函数的调用指令。
步骤S123’,判断所述调用指令是否指示对沙箱内核中新建的位图对象的指定属性进行修改操作。
步骤S124’,是则,确定监听到沙箱内核中新建的位图对象的指定属性被修改的事件,利用所述钩子函数强制结束所述调用指令;否则,利用所述钩子函数放行所述调用指令。
再根据前文中所述的对系统内核中新建的位图对象进行修改的规则可以知道,在本方案二中对沙箱内核中新建的位图对象的指定属性进行修改操作包括:将沙箱内核中一个或多个新建的位图对象的指定属性位对应的数据修改为用户空间的地址的操作。和/或,对沙箱内核中一个新建的位图对象的头部中的buffer指针和长度进行修改,使其指向另一个新建的位图对象;将该新建的位图对象的指定属性位对应的数据修改为其它读写地址;以及,将该新建的位图对象所指向的另一个新建的位图对象的指定属性位修改为其它读写内容。
在另一个具体的例子中,基于现有技术中恶意的威胁样本文件通常采取对系统保护机制进行禁用的方式获得系统权限,进而执行恶意操作危害用户信息安全的手段,本方案旨在于服务器侧创建沙箱作为目标样本文件的虚拟运行载体,通过监控目标样本文件在沙箱中运行的过程中是否发生进程属性修改事件来获知是否发生内核漏洞利用的事件,即通过威胁样本文件在沙箱中的行为特征来动态地确定目标样本文件是否为威胁样本文件。本例中,沙箱中包括4个模块:Agent.exe,虚拟机通信代理模块,负责检测模块和样本文件的接收,Analyzer进程的创建,与虚拟机外部服务器端进程实时数据交互、日志和文件传递。Analyzer.exe,内部调度管控模块,负责样本文件类型识别、LoadHP进程的创建,内部检测超时设定和限制,操作系统屏幕模拟点击实现,屏幕截取实现,与Agent的数据通信。LoadHP.exe,检测辅助操作模块,负责加载检测主模块驱动程序,通过配置文件选项控制各检测功能开关,与核心模块驱动程序之间通信和交互,样本文件进程的启动。Honeypot.sys,检测实现核心模块,驱动程序实现。在操作系统内核中设置进程创建回调通知、对指定的内核API挂钩,在HOOK处理函数中判定进程是否提权,打点并生成检测结果日志等。
在Honeypot日志记录线程中,持续不断地检查日志缓冲LIST中是否又新的日志Buffer插入。将新的日志Buffer追加写入到配置选项中指定路径的配置文件中,并释放日志缓冲LIST中该日志Buffer的节点。
对本例中生成检测结果日志的细节进行说明:该方案打点检出日志生成形式为缓存方式打点。检出日志被暂存于日志缓冲LIST中。日志记录线程轮询该日志缓冲LIST并依照FIFO的方式依次处理各日志节点,将检测结果日志内容追加写入日志记录文件actions.log中,在检测完成后由外部相关调度模块进程获取并处理该日志文件。其中,检测结果日志中的打点数据包括:环境和文件基本信息,检出功能点触发数据等。其中环境和文件基本信息以流水日志等形式输出,检出功能点触发数据以行为日志actions.log的形式输出。
在本发明的一个实施例中,除了检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用之外,还有相关的辅助检测流程,包括检测进程保护机制和检测文件保护机制:
检测进程保护机制用于保护检测模块相关进程地址空间,防止被虚拟机沙箱逃逸的恶意样本进程访问、释放或泄漏,导致检测模块机密信息失窃。初步的准备工作包括:1.LoadHP.exe,在LoadHP进程加载驱动阶段完成后,读取Honeypot.ini配置文件中的“ourproc”等字段的值,并解析获得1个或多个检测模块的进程名,通过进程名获取检测模块各进程的PID,依次通过IO控制码方式发送给Honeypot驱动程序。2.Honeypot.sys,Honeypot在接收到标记为“进程ID过滤”的IO控制码时,从输入Buffer中获取当次传递的PID的值,并根据PID获取对应进程EPROCESS地址,将该EPROCESS指针插入进程过滤LIST。在此基础上,辅助检测过程包括:HOOK对进程、线程、内存地址空间操作的关键NTAPI,在Fake函数中针对上下背景文所在进程的EPROCESS地址和操作目标进程的EPROCESS地址,在上述进程过滤LIST中进行匹配。如果上下背景文进程EPROCESS地址不在进程过滤LIST中,而操作目标进程EPROCESS地址在进程过滤LIST中成功匹配,则可判定其他进程试图访问检测模块各进程集中的某个进程。进行阻止,返回拒绝访问的状态码,不继续向下调用,以终止当前上下背景文进程对该API的调用。如果未能成功匹配,则属于对应API正常调用的其他情况。不进行阻止,继续调用原API向下执行,并向Caller返回其返回的值。
检测文件保护机制用于保护检测模块和检测结果日志相关各文件目录,防止被某些样本进程访问、篡改、加密、损毁,造成检测失败或结果异常,影响沙箱系统稳定和性能。初步的准备工作包括:1.LoadHP.exe,在LoadHP进程加载驱动阶段完成后,读取Honeypot.ini配置文件中的“ourpath”等字段的值,并解析获得1个或多个检测结果日志的目录路径名,将各路径Buffer依次通过IO控制码方式发送给Honeypot驱动程序。2.Honeypot.sys,Honeypot在接收到标记为“私有目录”的IO控制码时,从输入Buffer中获取当次传递的目录路径的Buffer,并根据Buffer构造UNICODE_STRING字符串对象,将该字符串对象插入私有目录LIST。在此基础上,辅助检测过程包括:注册文件系统过滤,实现各主要IRP分发函数。在READ,WRITE,CREATE,SET_INFORMATION,DIRECTORY_CONTROL等分发函数的自实现函数体中,判断当前IRP中FILE_OBJECT的文件路径UNICODE_STRING对象是否能够在私有目录LIST中成功匹配。如果未能成功匹配,则当前操作不是对检测日志目录或检测模块目录进行的,跳过当前栈单元,并将IRP继续向下分发。如果成功匹配,意味着当前文件操作确实是针对检测日志目录或检测模块目录进行的。这时获取上下背景文进程的EPROCESS地址,并判断该EPROCESS地址是否能够在“检测进程保护”机制中的进程过滤LIST中成功匹配。如果成功匹配,则判定属于检测模块进程自身对检测日志目录和检测模块目录的访问,跳过当前栈单元,并将IRP继续向下分发。如果未能成功匹配,意味着属于第三方的进程访问检测日志目录或检测模块目录。赋值IRP的IO状态域拒绝访问等错误码,完成IRP的IO请求,返回当前IRP分发函数,使当前的文件访问操作失败。
图2示出了根据本发明一个实施例的一种目标样本文件的检测装置的示意图。如图2所示,目标样本文件的检测装置200包括:
样本接收单元210,适于从数据源接收目标样本文件。
检测处理单元220,适于将所述目标样本文件投放到沙箱中运行;在所述目标样本文件在沙箱中运行的过程中,监听沙箱内核中是否发生位图对象属性修改事件;是则,确定所述目标样本文件是威胁样本文件;否则,确定所述目标样本文件不是威胁样本文件。
可见,图2所示的装置将从数据源接收的目标样本文件投放到沙箱中进行检测,当检测出目标样本文件在沙箱中运行的过程中发生位图对象属性修改事件时,确定目标样本文件为威胁样本文件。本方案以沙箱作为虚拟载体运行目标样本文件,能够清晰地检测到目标样本文件的所有运行轨迹,全面分析得到目标样本文件相关的特征信息,根据目标样本文件相关的特征信息可以更为准确地判断所述目标样本文件在虚拟机中运行的过程中是否发生进程属性修改事件,进而确定出威胁样本文件,为后续信息安全防护提供参考和依据。
在本发明的一个实施例中,检测处理单元220,适于监听沙箱内核中原始的位图对象的指定属性是否被修改的事件,是则,确定沙箱内核中发生位图对象属性修改事件。其中,检测处理单元220,适于在对沙箱内核中原始的位图对象进行操作的第一函数上挂载钩子函数;当所述第一函数被调用时,利用所述钩子函数拦截所述第一函数的调用指令;判断所述调用指令是否指示对沙箱内核中原始的位图对象的指定属性进行修改操作;是则,确定监听到沙箱内核中原始的位图对象的指定属性被修改的事件,利用所述钩子函数强制结束所述调用指令;否则,利用所述钩子函数放行所述调用指令。
具体地,所述对沙箱内核中原始的位图对象的指定属性进行修改操作包括:将沙箱内核中一个或多个原始的位图对象的指定属性位对应的数据修改为用户空间的地址的操作。和/或,所述对沙箱内核中原始的位图对象的指定属性进行修改操作包括:对沙箱内核中一个原始的位图对象的头部中的buffer指针和长度进行修改,使其指向另一个原始的位图对象;将该原始的位图对象的指定属性位对应的数据修改为其它读写地址;以及,将该原始的位图对象所指向的另一个原始的位图对象的指定属性位修改为其它读写内容。
在本发明的一个实施例中,检测处理单元220,适于监听所述目标样本文件新建位图文件的事件;当监听到所述目标样本文件新建位图文件的事件时,获取所述目标样本文件所新建的每个位图文件在沙箱内核中对应的新建的位图对象;监听沙箱内核中新建的位图对象的指定属性是否被修改的事件,是则,确定沙箱内核中发生位图对象属性修改事件。
其中,检测处理单元220,适于在沙箱中创建所述目标样本文件对应的进程,通过该进程执行所述目标样本文件在沙箱中的运行;在创建所述目标样本文件对应的进程时,将该进程的标识信息记录到监控列表中;则所述监听所述目标样本文件新建位图文件的事件包括:监听新建位图文件的事件;当监听到新建位图文件的事件时,获取该新建位图文件的事件的执行进程的标识信息,判断所获取的标识信息是否命中所述监控列表;是则,确定监听到所述目标样本文件新建位图文件的事件。
具体地,检测处理单元220,适于在对所述新建的位图对象进行操作的第二函数上挂载钩子函数;当所述第二函数被调用时,利用所述钩子函数拦截所述第二函数的调用指令;判断所述调用指令是否指示对沙箱内核中新建的位图对象的指定属性进行修改操作;是则,确定监听到沙箱内核中新建的位图对象的指定属性被修改的事件,利用所述钩子函数强制结束所述调用指令;否则,利用所述钩子函数放行所述调用指令。
具体地,所述对沙箱内核中新建的位图对象的指定属性进行修改操作包括:将沙箱内核中一个或多个新建的位图对象的指定属性位对应的数据修改为用户空间的地址的操作。和/或,所述对沙箱内核中新建的位图对象的指定属性进行修改操作包括:对沙箱内核中一个新建的位图对象的头部中的buffer指针和长度进行修改,使其指向另一个新建的位图对象;将该新建的位图对象的指定属性位对应的数据修改为其它读写地址;以及,将该新建的位图对象所指向的另一个新建的位图对象的指定属性位修改为其它读写内容。
在本发明的一个实施例中,检测处理单元220,进一步适于记录所述目标样本文件在沙箱中运行的运行日志;当确定所述目标样本文件是威胁样本文件时,根据所述目标样本文件在沙箱中运行的运行日志获得所述目标样本文件相关的特征信息;将所述目标样本相关的特征信息放入威胁数据库中。
其中,所述目标样本文件相关的特征信息包括:目标样本文件的静态特征信息,和/或,目标样本文件的行为特征信息。
在本发明的一个实施例中,检测处理单元220,进一步适于将所述目标样本相关的特征信息反馈给数据源。
需要说明的是,图2所示装置的具体实施例与图1所示方法的各实施例对应相同,上文中已进行了详细说明,在此不再赘述。
综上所述,本发明的技术方案将从数据源接收的目标样本文件投放到沙箱中进行检测,当检测出目标样本文件在沙箱中运行的过程中发生位图对象属性修改事件时,确定目标样本文件为威胁样本文件。本方案以沙箱作为虚拟载体运行目标样本文件,能够清晰地检测到目标样本文件的所有运行轨迹,全面分析得到目标样本文件相关的特征信息,根据目标样本文件相关的特征信息可以更为准确地判断所述目标样本文件在虚拟机中运行的过程中是否发生进程属性修改事件,进而确定出威胁样本文件,为后续信息安全防护提供参考和依据。
需要说明的是:
在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述,构造这类装置所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的目标样本文件的检测装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开了A1、一种目标样本文件的检测方法,其中,包括:
从数据源接收目标样本文件,将所述目标样本文件投放到沙箱中运行;
在所述目标样本文件在沙箱中运行的过程中,监听沙箱内核中是否发生位图对象属性修改事件;
是则,确定所述目标样本文件是威胁样本文件;
否则,确定所述目标样本文件不是威胁样本文件。
A2、如A1所述的方法,其中,所述监听沙箱内核中是否发生位图对象属性修改事件包括:
监听沙箱内核中原始的位图对象的指定属性是否被修改的事件,是则,确定沙箱内核中发生位图对象属性修改事件。
A3、如A2所述的方法,其中,所述监听沙箱内核中原始的位图对象的指定属性是否被修改的事件包括:
在对沙箱内核中原始的位图对象进行操作的第一函数上挂载钩子函数;
当所述第一函数被调用时,利用所述钩子函数拦截所述第一函数的调用指令;
判断所述调用指令是否指示对沙箱内核中原始的位图对象的指定属性进行修改操作;
是则,确定监听到沙箱内核中原始的位图对象的指定属性被修改的事件,利用所述钩子函数强制结束所述调用指令;否则,利用所述钩子函数放行所述调用指令。
A4、如A3所述的方法,其中,所述对沙箱内核中原始的位图对象的指定属性进行修改操作包括:
将沙箱内核中一个或多个原始的位图对象的指定属性位对应的数据修改为用户空间的地址的操作。
A5、如A3所述的方法,其中,所述对沙箱内核中原始的位图对象的指定属性进行修改操作包括:
对沙箱内核中一个原始的位图对象的头部中的buffer指针和长度进行修改,使其指向另一个原始的位图对象;
将该原始的位图对象的指定属性位对应的数据修改为其它读写地址;以及,将该原始的位图对象所指向的另一个原始的位图对象的指定属性位修改为其它读写内容。
A6、如A1所述的方法,其中,所述监听沙箱内核中是否发生位图对象属性修改事件包括:
监听所述目标样本文件新建位图文件的事件;
当监听到所述目标样本文件新建位图文件的事件时,获取所述目标样本文件所新建的每个位图文件在沙箱内核中对应的新建的位图对象;
监听沙箱内核中新建的位图对象的指定属性是否被修改的事件,是则,确定沙箱内核中发生位图对象属性修改事件。
A7、如A6所述的方法,其中,所述将所述目标样本文件投放到沙箱中运行包括:
在沙箱中创建所述目标样本文件对应的进程,通过该进程执行所述目标样本文件在沙箱中的运行;在创建所述目标样本文件对应的进程时,将该进程的标识信息记录到监控列表中;
则所述监听所述目标样本文件新建位图文件的事件包括:监听新建位图文件的事件;当监听到新建位图文件的事件时,获取该新建位图文件的事件的执行进程的标识信息,判断所获取的标识信息是否命中所述监控列表;是则,确定监听到所述目标样本文件新建位图文件的事件。
A8、如A6所述的方法,其中,所述监听沙箱内核中新建的位图对象的指定属性是否被修改的事件包括:
在对所述新建的位图对象进行操作的第二函数上挂载钩子函数;
当所述第二函数被调用时,利用所述钩子函数拦截所述第二函数的调用指令;
判断所述调用指令是否指示对沙箱内核中新建的位图对象的指定属性进行修改操作;
是则,确定监听到沙箱内核中新建的位图对象的指定属性被修改的事件,利用所述钩子函数强制结束所述调用指令;否则,利用所述钩子函数放行所述调用指令。
A9、如A8所述的方法,其中,所述对沙箱内核中新建的位图对象的指定属性进行修改操作包括:
将沙箱内核中一个或多个新建的位图对象的指定属性位对应的数据修改为用户空间的地址的操作。
A10、如A8所述的方法,其中,所述对沙箱内核中新建的位图对象的指定属性进行修改操作包括:
对沙箱内核中一个新建的位图对象的头部中的buffer指针和长度进行修改,使其指向另一个新建的位图对象;
将该新建的位图对象的指定属性位对应的数据修改为其它读写地址;以及,将该新建的位图对象所指向的另一个新建的位图对象的指定属性位修改为其它读写内容。
A11、如A1所述的方法,其中,该方法进一步包括:
记录所述目标样本文件在沙箱中运行的运行日志;
当确定所述目标样本文件是威胁样本文件时,根据所述目标样本文件在沙箱中运行的运行日志获得所述目标样本文件相关的特征信息;
将所述目标样本相关的特征信息放入威胁数据库中。
A12、如A11所述的方法,其中,所述目标样本文件相关的特征信息包括:
目标样本文件的静态特征信息,
和/或,
目标样本文件的行为特征信息。
A13、如A11所述的方法,其中,该方法进一步包括:
将所述目标样本相关的特征信息反馈给数据源。
本发明还公开了B14、一种目标样本文件的检测装置,其中,包括:
样本接收单元,适于从数据源接收目标样本文件;
检测处理单元,适于将所述目标样本文件投放到沙箱中运行;在所述目标样本文件在沙箱中运行的过程中,监听沙箱内核中是否发生位图对象属性修改事件;是则,确定所述目标样本文件是威胁样本文件;否则,确定所述目标样本文件不是威胁样本文件。
B15、如B14所述的装置,其中,
所述检测处理单元,适于监听沙箱内核中原始的位图对象的指定属性是否被修改的事件,是则,确定沙箱内核中发生位图对象属性修改事件。
B16、如B15所述的装置,其中,
所述检测处理单元,适于在对沙箱内核中原始的位图对象进行操作的第一函数上挂载钩子函数;当所述第一函数被调用时,利用所述钩子函数拦截所述第一函数的调用指令;判断所述调用指令是否指示对沙箱内核中原始的位图对象的指定属性进行修改操作;是则,确定监听到沙箱内核中原始的位图对象的指定属性被修改的事件,利用所述钩子函数强制结束所述调用指令;否则,利用所述钩子函数放行所述调用指令。
B17、如B16所述的装置,其中,所述对沙箱内核中原始的位图对象的指定属性进行修改操作包括:将沙箱内核中一个或多个原始的位图对象的指定属性位对应的数据修改为用户空间的地址的操作。
B18、如B16所述的装置,其中,所述对沙箱内核中原始的位图对象的指定属性进行修改操作包括:对沙箱内核中一个原始的位图对象的头部中的buffer指针和长度进行修改,使其指向另一个原始的位图对象;将该原始的位图对象的指定属性位对应的数据修改为其它读写地址;以及,将该原始的位图对象所指向的另一个原始的位图对象的指定属性位修改为其它读写内容。
B19、如B14所述的装置,其中,
所述检测处理单元,适于监听所述目标样本文件新建位图文件的事件;当监听到所述目标样本文件新建位图文件的事件时,获取所述目标样本文件所新建的每个位图文件在沙箱内核中对应的新建的位图对象;监听沙箱内核中新建的位图对象的指定属性是否被修改的事件,是则,确定沙箱内核中发生位图对象属性修改事件。
B20、如B19所述的装置,其中,
所述检测处理单元,适于在沙箱中创建所述目标样本文件对应的进程,通过该进程执行所述目标样本文件在沙箱中的运行;在创建所述目标样本文件对应的进程时,将该进程的标识信息记录到监控列表中;则所述监听所述目标样本文件新建位图文件的事件包括:监听新建位图文件的事件;当监听到新建位图文件的事件时,获取该新建位图文件的事件的执行进程的标识信息,判断所获取的标识信息是否命中所述监控列表;是则,确定监听到所述目标样本文件新建位图文件的事件。
B21、如B19所述的装置,其中,
所述检测处理单元,适于在对所述新建的位图对象进行操作的第二函数上挂载钩子函数;当所述第二函数被调用时,利用所述钩子函数拦截所述第二函数的调用指令;判断所述调用指令是否指示对沙箱内核中新建的位图对象的指定属性进行修改操作;是则,确定监听到沙箱内核中新建的位图对象的指定属性被修改的事件,利用所述钩子函数强制结束所述调用指令;否则,利用所述钩子函数放行所述调用指令。
B22、如B21所述的装置,其中,所述对沙箱内核中新建的位图对象的指定属性进行修改操作包括:将沙箱内核中一个或多个新建的位图对象的指定属性位对应的数据修改为用户空间的地址的操作。
B23、如B21所述的装置,其中,所述对沙箱内核中新建的位图对象的指定属性进行修改操作包括:
对沙箱内核中一个新建的位图对象的头部中的buffer指针和长度进行修改,使其指向另一个新建的位图对象;将该新建的位图对象的指定属性位对应的数据修改为其它读写地址;以及,将该新建的位图对象所指向的另一个新建的位图对象的指定属性位修改为其它读写内容。
B24、如B14所述的装置,其中,
所述检测处理单元,进一步适于记录所述目标样本文件在沙箱中运行的运行日志;当确定所述目标样本文件是威胁样本文件时,根据所述目标样本文件在沙箱中运行的运行日志获得所述目标样本文件相关的特征信息;将所述目标样本相关的特征信息放入威胁数据库中。
B25、如B24所述的装置,其中,所述目标样本文件相关的特征信息包括:
目标样本文件的静态特征信息,
和/或,
目标样本文件的行为特征信息。
B26、如B24所述的装置,其中,
所述检测处理单元,进一步适于将所述目标样本相关的特征信息反馈给数据源。
- 还没有人留言评论。精彩留言会获得点赞!