[发明专利]一种在沙箱中提取程序衍生物的方法、装置、设备及可读介质

说明书

本发明提供了一种在沙箱中提取程序衍生物的方法、装置、设备及计算机可读介质，该方法包括：关联步骤：在沙箱中建立第一文件和第一备份文件之间的关联关系；记录步骤：根据对第一文件的操作类型在第一备份文件进行记录，并修改第一文件的引用计数；程序衍生物提取步骤，通过对第一备份文件进行解析，以还原出每次程序写入前后的文件内容以及写入顺序，分析程序对第一文件进行操作过程，并获取其衍生物。通过建立文件与备份文件的关联的数据结构，可以在沙箱中提取出程序每次写入前后的文件内容以及写入顺序，即可以提取文件操作过程中的全部内容，通过对操作过程和衍生物分析，来检测是否为恶意程序。

技术领域

本发明涉及数据安全技术领域，特别是一种在沙箱中提取程序衍生物的方法、装置、设备及计算机可读介质。

背景技术

随着Android系统的普及和发展，Android平台的软件和安全厂商之间的博弈愈演愈烈。无论是静态检测还是动态检测，程序衍生物(程序运行期间释放的新文件)在检测环节起着相当重要的作用。因此能有效、尽可能完整的提取出衍生物是静态、动态检测中一个必不可少的流程。

现有技术中，在程序运行完成以后，检测新增文件，提取衍生物；在程序运行阶段，通过修改文件操作相关代码，在样本对文件操作结束后，关闭文件描述符时提取文件。虽然以上方法可以提取出衍生物，但是获得的文件是最后的状态，不一定是所需文件(比如程序写入某文件后，使用完毕后，将文件再写入无用数据，这时候提取出来的文件是包含无用数据的文件)。即现有技术中无法提取程序写入文件的写入过程及写入的全部数据。

发明内容

本发明针对上述现有技术中的缺陷，提出了如下技术方案。

一种在沙箱中提取程序衍生物的方法，该方法包括：

关联步骤：在沙箱中建立第一文件和第一备份文件之间的关联关系；

记录步骤：根据对第一文件的操作类型在第一备份文件进行记录，并修改所述第一文件的引用计数；

程序衍生物提取步骤，通过对第一备份文件进行解析，以还原出每次程序写入前后的文件内容以及写入顺序，分析程序对第一文件进行操作过程，并获取其衍生物。

更进一步地，所述在沙箱中建立第一文件和第一备份文件之间的关联关系是在沙箱中创建一个数据结构，所述数据结构的一个节点用于记录第一文件的路径、第一备份文件的路径及第一文件引用计数。

更进一步地，所述数据结构是单链表或双链表。

更进一步地，在所述关联步骤中，当创建或打开所述第一文件时，如果应用程序具有写权限，且所述第一文件打开或创建文件成功，将所述第一文件的路径保存在数据结构的节点中，同时创建该第一文件对应的第一备份文件，并将所述引用计数加1，并将所述数据结构加入到监控队列中。

更进一步地，所述记录步骤的操作为：

判断所操作的文件对象是否在所述监控队列中，如果是，对所述操作类型进行判断，如果所述操作类型是写操作，将数据写入所述第一文件，在写入操作完成后，将当前进程PID、线程TID、写入前的文件指针、写入长度、写入的数据记录到第一备份文件，如果所述操作类型为复制或重复打开操作，将所述引用计数加1，若果所述操作为文件关闭操作，将所述引用计数减1，如果引用计数为0，则从单链表或双链表中移除并释放第一文件对应的数据结构节点。

更进一步地，所述方法还包括：

分析步骤，通过对程序衍生物进行分析，判断所述程序是否为恶意程序。

本发明还提出了一种在沙箱中提取程序衍生物的装置，该装置包括：

关联单元：在沙箱中建立第一文件和第一备份文件之间的关联关系；