一種目標樣本文件的檢測方法和裝置制造方法及圖紙

本發明專利技術公開了一種目標樣本文件的檢測方法和裝置，包括：從數據源接收目標樣本文件，將所述目標樣本文件投放到沙箱中運行；監聽所述目標樣本文件在沙箱中運行的過程中是否發生系統進程令牌替換事件；是則，確定所述目標樣本文件是威脅樣本文件；否則，確定所述目標樣本文件不是威脅樣本文件。本方案以沙箱作為虛擬載體運行目標樣本文件，能夠清晰地檢測到目標樣本文件的所有運行軌跡，全面分析得到目標樣本文件相關的特征信息，根據目標樣本文件相關的特征信息可以更為準確地判斷所述目標樣本文件在虛擬機中運行的過程中是否發生系統進程令牌替換事件，進而確定出威脅樣本文件，為后續信息安全防護提供參考和依據。

Method and device for detecting target sample file

The invention discloses a method and a device, detection of a target sample file includes: receiving the target sample files from the data source, the target sample files into the sandbox operation; whether the replacement event system process token listening to the target sample file to run in the sandbox; is, determining the the target sample file is a threat to the sample file; otherwise, determine the target sample file is not a threat to the sample file. This project uses the sandbox as virtual carrier operation target sample files, can clearly detect all target trajectory sample documents, comprehensive analysis to get the characteristic information of the target sample documents, according to the characteristics of information related to the target sample file can more accurately determine whether the occurrence of token substitution event system process the target sample file operation in the virtual machine, and then determine the threat of sample files, and provide reference for the follow-up of information security protection.

【技術實現步驟摘要】
一種目標樣本文件的檢測方法和裝置
本專利技術涉及互聯網
，具體涉及一種目標樣本文件的檢測方法和裝置。
技術介紹
隨著互聯網技術的不斷發展，人們對于網絡的使用愈加頻繁，通過網絡可以進行工作、學習、生活、娛樂等多方面的事宜，給人們帶來了極大的便利。然而，當前互聯網技術中存在系統級的內核漏洞，這些漏洞給惡意開發者以可乘之機，惡意開發者們通過威脅樣本文件利用這些漏洞對各種客戶端、服務端所在的終端進行攻擊，獲取用戶的個人信息，威脅用戶的信息安全，給用戶的人身、財產等方面損失。其中特別地，惡意開發者們在通過威脅樣本文件進行漏洞利用的過程中，常常采用替換系統進程令牌的手段來獲取系統級權限進行執行非法操作。因此，如何有效、全面地對互聯網中進行漏洞利用攻擊的可疑樣本進行挖掘、檢測和處理，是當前亟待解決的重要問題。
技術實現思路
鑒于上述問題，提出了本專利技術以便提供一種克服上述問題或者至少部分地解決上述問題的目標樣本文件的檢測方法和裝置。依據本專利技術的一個方面，提供了一種目標樣本文件的檢測方法，包括：從數據源接收目標樣本文件，將所述目標樣本文件投放到沙箱中運行；監聽所述目標樣本文件在沙箱中運行的過程中是否發生系統進程令牌替換事件；是則，確定所述目標樣本文件是威脅樣本文件；否則，確定所述目標樣本文件不是威脅樣本文件。可選地，在所述將所述目標樣本文件投放到沙箱中運行之前，該方法進一步包括：獲取沙箱中具有系統級權限的各個系統進程的令牌信息。可選地，所述監聽所述目標樣本文件在沙箱中運行的過程中是否發生系統進程令牌替換事件包括：監聽所述目標樣本文件在沙箱中執行的指定操作事件；當監聽到指定操作事件發生時，攔截所述指定操作事件，獲取當前所述目標樣本文件對應的進程的令牌信息；將當前所述目標樣本文件對應的進程的令牌信息與沙箱中各個系統進程的令牌信息進行匹配，如果當前所述目標樣本文件對應的進程的令牌信息命中沙箱中系統進程的令牌信息，確定所述目標樣本文件在沙箱中運行的過程中發生系統進程令牌替換事件；否則，確定所述目標樣本文件在沙箱中運行的過程中未發生系統進程令牌替換事件。可選地，該方法進一步包括：當確定所述目標樣本文件在沙箱中運行的過程中發生系統進程令牌替換事件時，強制結束所述指定操作事件；當確定所述目標樣本文件在沙箱中運行的過程中未發生系統進程令牌替換事件時，允許所述指定操作事件繼續執行。可選地，所述獲取沙箱中具有系統級權限的各個系統進程的令牌信息包括：獲取沙箱中具有系統級權限的各個系統進程的進程標識；對于每個系統進程，根據該系統進程的進程標識，獲取該系統進程的EPROCESS結構地址，進一步獲取該系統進程的EPROCESS結構地址中的Token域的指針值。可選地，所述獲取當前所述目標樣本文件對應的進程的令牌信息包括：獲取當前所述目標樣本文件對應的進程的EPROCESS結構地址，進一步獲取所述目標樣本文件對應的進程的EPROCESS結構地址中的Token域的指針值；則所述將當前所述目標樣本文件對應的進程的令牌信息與沙箱中各個系統進程的令牌信息進行匹配包括：將所述目標樣本文件對應的進程的EPROCESS結構地址中的Token域的指針值與沙箱中各個系統進程的EPROCESS結構地址中的Token域的指針值進行匹配。可選地，沙箱中具有系統級權限的系統進程包括如下一種或多種：Idle進程、System進程、smss.exe進程、csrss.exe進程、wininit.exe進程、service.exe進程、Isass.exe進程、winlogon.exe進程。可選地，所述指定操作事件包括：對執行指定操作的函數進行調用的事件；所述指定操作包括：對沙箱中的內存、特權、注冊表、進程、線程、和/或文件進行創建和/或讀寫的操作。可選地，所述監聽所述目標樣本文件在沙箱中執行的指定操作事件包括：在執行指定操作的函數上掛載鉤子函數，攔截指示對執行所述指定操作的函數進行調用的消息；判斷所述指示對執行所述指定操作的函數進行調用的消息的發送者是否為所述目標樣本文件；是則，確定監聽到所述目標樣本文件在沙箱中執行的指定操作事件，否則放行所述指示對執行所述指令操作的函數進行調用的消息。可選地，該方法進一步包括：記錄所述目標樣本文件在沙箱中運行的運行日志；當確定所述目標樣本文件是威脅樣本文件時，根據所述目標樣本文件在沙箱中運行的運行日志獲得所述目標樣本文件相關的特征信息；將所述目標樣本文件相關的特征信息放入威脅數據庫中。可選地，所述目標樣本文件相關的特征信息包括：目標樣本文件的靜態特征信息，和/或，目標樣本文件的行為特征信息。可選地，該方法進一步包括：將所述目標樣本文件相關的特征信息反饋給數據源。依據本專利技術的另一個方面，提供了一種目標樣本文件的檢測裝置，包括：樣本接收單元，適于從數據源接收目標樣本文件；檢測處理單元，適于將所述目標樣本文件投放到沙箱中運行，監聽所述目標樣本文件在沙箱中運行的過程中是否發生系統進程令牌替換事件；是則，確定所述目標樣本文件是威脅樣本文件；否則，確定所述目標樣本文件不是威脅樣本文件。可選地，所述檢測處理單元，進一步適于在所述將所述目標樣本文件投放到沙箱中運行之前，獲取沙箱中具有系統級權限的各個系統進程的令牌信息。可選地，所述檢測處理單元，適于監聽所述目標樣本文件在沙箱中執行的指定操作事件；當監聽到指定操作事件發生時，攔截所述指定操作事件，獲取當前所述目標樣本文件對應的進程的令牌信息；將當前所述目標樣本文件對應的進程的令牌信息與沙箱中各個系統進程的令牌信息進行匹配，如果當前所述目標樣本文件對應的進程的令牌信息命中沙箱中系統進程的令牌信息，確定所述目標樣本文件在沙箱中運行的過程中發生系統進程令牌替換事件；否則，確定所述目標樣本文件在沙箱中運行的過程中未發生系統進程令牌替換事件。可選地，所述檢測處理單元，進一步適于當確定所述目標樣本文件在沙箱中運行的過程中發生系統進程令牌替換事件時，強制結束所述指定操作事件；當確定所述目標樣本文件在沙箱中運行的過程中未發生系統進程令牌替換事件時，允許所述指定操作事件繼續執行。可選地，所述檢測處理單元，適于獲取沙箱中具有系統級權限的各個系統進程的進程標識；對于每個系統進程，根據該系統進程的進程標識，獲取該系統進程的EPROCESS結構地址，進一步獲取該系統進程的EPROCESS結構地址中的Token域的指針值。可選地，所述檢測處理單元，適于獲取當前所述目標樣本文件對應的進程的EPROCESS結構地址，進一步獲取所述目標樣本文件對應的進程的EPROCESS結構地址中的Token域的指針值；所述檢測處理單元，適于將所述目標樣本文件對應的進程的EPROCESS結構地址中的Token域的指針值與沙箱中各個系統進程的EPROCESS結構地址中的Token域的指針值進行匹配。可選地，沙箱中具有系統級權限的系統進程包括如下一種或多種：Idle進程、System進程、smss.exe進程、csrss.exe進程、wininit.exe進程、service.exe進程、Isass.exe進程、winlogon.exe進程。可選地，所述指定操作事件包括：對執行指定操作的函數進行調用的事件；所述指定操作包括：對沙箱中的內存、特權、注冊表、進本文檔來自技高網...

【技術保護點】
一種目標樣本文件的檢測方法，其中，包括：從數據源接收目標樣本文件，將所述目標樣本文件投放到沙箱中運行；監聽所述目標樣本文件在沙箱中運行的過程中是否發生系統進程令牌替換事件；是則，確定所述目標樣本文件是威脅樣本文件；否則，確定所述目標樣本文件不是威脅樣本文件。

【技術特征摘要】
1.一種目標樣本文件的檢測方法，其中，包括：從數據源接收目標樣本文件，將所述目標樣本文件投放到沙箱中運行；監聽所述目標樣本文件在沙箱中運行的過程中是否發生系統進程令牌替換事件；是則，確定所述目標樣本文件是威脅樣本文件；否則，確定所述目標樣本文件不是威脅樣本文件。2.如權利要求1所述的方法，其中，在所述將所述目標樣本文件投放到沙箱中運行之前，該方法進一步包括：獲取沙箱中具有系統級權限的各個系統進程的令牌信息。3.如權利要求2所述的方法，其中，所述監聽所述目標樣本文件在沙箱中運行的過程中是否發生系統進程令牌替換事件包括：監聽所述目標樣本文件在沙箱中執行的指定操作事件；當監聽到指定操作事件發生時，攔截所述指定操作事件，獲取當前所述目標樣本文件對應的進程的令牌信息；將當前所述目標樣本文件對應的進程的令牌信息與沙箱中各個系統進程的令牌信息進行匹配，如果當前所述目標樣本文件對應的進程的令牌信息命中沙箱中系統進程的令牌信息，確定所述目標樣本文件在沙箱中運行的過程中發生系統進程令牌替換事件；否則，確定所述目標樣本文件在沙箱中運行的過程中未發生系統進程令牌替換事件。4.如權利要求3所述的方法，其中，該方法進一步包括：當確定所述目標樣本文件在沙箱中運行的過程中發生系統進程令牌替換事件時，強制結束所述指定操作事件；當確定所述目標樣本文件在沙箱中運行的過程中未發生系統進程令牌替換事件時，允許所述指定操作事件繼續執行。5.如權利要求3所述的方法，其中，所述獲取沙箱中具有系統級權限的各個系統進程的令牌信息包括：獲取沙箱中具有系統級權限的各個系統進程的進程標識；對于每個系統進程，根據該系統進程的進程標識，獲取該系統進程的EPROCESS結構地址，進一步獲取該系統進程的EPROCESS結構地址中的To...

【專利技術屬性】
技術研發人員：邱鵬，
申請(專利權)人：北京奇虎科技有限公司，奇智軟件北京有限公司，
類型：發明
國別省市：北京,11