|
|
EDA365欢迎您登录!
您需要 登录 才可以下载或查看,没有帐号?注册
x
摘 要:沙箱验证机制的测试需要首先识别沙箱拦截,即识别沙箱截获的系统函数集。已有的 Hook 识别方法大多& t( N0 R- d, j2 Y# } ^/ |9 k
仅关注钩子的存在性,识别沙箱拦截的能力不足。该文设计了一种基于函数注入的沙箱拦截识别方法,该方法分析
6 V7 x e- a: k5 L, y# s" n系统函数的指令执行记录(Trace)来识别沙箱截获的系统函数。首先,向不可信进程注入并执行系统函数来获取函7 E, C: R- P9 D2 H
数的执行记录;其次,根据沙箱截获系统函数执行记录的特点,设计了地址空间有限状态自动机,并在自动机内分2 E! A2 T8 Y9 y! C& h1 b# {
析获取的执行记录来判别沙箱截获的系统函数;最后,遍历测试函数集来识别目标沙箱截获的系统函数集。该文设0 F4 p- h1 a! |+ r# u
计实现了原型系统 SIAnalyzer,并对 Chromium 和 Adobe Reader 进行了沙箱拦截识别测试,测试结果验证了方法
+ N3 G5 i+ D7 f3 P, c的有效性和实用性。
1 p1 B4 W. v% ?' g o2 u+ X关键词:沙箱拦截;系统函数集;钩子;函数注入;自动机
+ u3 X& ~. w9 h' x: P/ @& O8 _% V$ l2 V! I2 f* m0 I5 k' |9 `: F
" [, P, H+ q% S5 z; m
( G6 N" c1 q! C# a& F, l
2 M, r9 k9 D% M' P- T9 h+ K
附件下载:2 K) E. y8 B& o) M
: N- o8 A# g0 K. p
|
|
/1 
发表于 2021-6-11 11:04
收藏
淘帖
支持!
反对!