基于函数注入的沙箱拦截识别方法
沙箱验证机制的测试需要首先识别沙箱拦截,即识别沙箱截获的系统函数集.已有的Hook识别方法大多仅关注钩子的存在性,识别沙箱拦截的能力不足.该文设计了一种基于函数注入的沙箱拦截识别方法,该方法分析系统函数的指令执行记录(Trace)来识别沙箱截获的系统函数.首先,向不可信进程注入并执行系统函数来获取函数的执行记录;其次,根据沙箱截获系统函数执行记录的特点,设计了地址空间有限状态自动机,并在自动机内分析获取的执行记录来判别沙箱截获的系统函数;最后,遍历测试函数集来识别目标沙箱截获的系统函数集.该文设计实现了原型系统SIAnalyzer,并对Chromium和Adobe Reader进行了沙箱拦截识别测试,测试结果验证了方法的有效性和实用性.
沙箱拦截、系统函数集、钩子、函数注入、自动机
38
TP311.1(计算技术、计算机技术)
国家863计划项目2012AA012902The National 863 Program of China2012AA012902
2016-09-05(万方平台首次上网日期,不代表论文的发表时间)
共8页
1823-1830
