信息网络安全 ›› 2015, Vol. 15 ›› Issue (9): 139-143.doi: 10.3969/j.issn.1671-1122.2015.09.032

• 入选论文 • 上一篇    下一篇

基于模拟器的沙箱系统研究

于航1,2,3(), 刘丽敏1,3, 高能1,3, 李红达1,3   

  1. 1. 中国科学院信息工程研究所信息安全国家重点实验室,北京 100093
    2. 中国科学院大学,北京 100049
    3. 中国科学院数据与通信保护研究教育中心,北京 100093
  • 收稿日期:2015-07-15 出版日期:2015-09-30 发布日期:2015-11-13
  • 作者简介:

    作者简介: 于航(1990-),男,山东,硕士研究生,主要研究方向:网络与系统安全;刘丽敏(1985-),女,湖南,助理研究员,博士,主要研究方向:网络与系统安全;高能(1976-),女,陕西,副研究员,博士,主要研究方向:网络与系统安全;李红达(1966-),男,陕西,博士,主要研究方向:密码学。

  • 基金资助:
    国家技术研究发展计划(国家863计划)[2013AA01A214]

Research on Emulator-Based Sandbox Systems

Hang YU1,2,3(), Li-min LIU1,3, Neng GAO1,3, Hong-da LI1,3   

  1. 1.State Key Laboratory of Information Security, Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China
    2.University of Chinese Academy of Sciences, Beijing 100049, China
    3.Data Assurance and Communication Security Research Center, Beijing 100093, China
  • Received:2015-07-15 Online:2015-09-30 Published:2015-11-13

摘要:

恶意软件为了防止被分析,通过检测其是否在沙箱环境下而表现出不同的行为,这种技术被称为反调试、反虚拟化技术。为了对抗这种技术,恶意软件的分析人员一直致力于保证沙箱环境和真实机器的一致性。文章通过分析现有沙箱系统的语义监控能力、实现原理以及存在的安全性问题,总结出现有的基于模拟器的沙箱系统具有隔离性好、全系统视角以及监控效率高的优势。另外,文章分析了现有的基于模拟器的沙箱系统存在的透明性不足的原因。

关键词: 沙箱, 反虚拟化, 模拟器

Abstract:

Malware authors frustrate the dynamic analysis by the means of detecting whether the malware is executed in the sandbox. This method is called anti-virtualization technology. To defeat anti-virtualization, malware analysts try their bests to guarantee the consistency of real world and sandbox. Firstly, this paper analyses the semantic monitoring capacities, internals and security issues of existing sandbox systems, and then summarizes that emulator-based sandbox systems have advantages over others in isolation, full-system view and high monitoring efficiency. Also, we analyze the reason why emulator-based sandbox systems are not transparent enough.

Key words: sandbox, anti-virtualization, emulator

中图分类号: