[发明专利]一种基于PE虚拟沙盒实现JS脚本虚拟沙盒的方法

说明书

本发明公开了一种基于PE虚拟沙盒实现JS脚本虚拟沙盒的方法，共包括七个步骤，与现有技术相比的优点在于：本方案通过提供基于PE虚拟沙盒来保障恶意程序识别过程的安全性，该沙盒为Windows系统PE格式的可执行程序提供虚拟仿真的运行环境，既保障程序正确执行，又防止其产生逃逸，威胁到真实运行环境。

技术领域

本发明涉及信息安全领域，具体是指一种基于PE虚拟沙盒实现JS脚本虚拟沙盒的方法。

背景技术

目前在信息安全领域中，存在许多以JScript脚本为载体的恶意代码。JScript是由微软公司开发的一种通用脚本编程语言。脚本编程语言的特点在于：方便使用，脚本编辑完成后，可以直接由其执行器执行其所描述的逻辑。ECMA-262(European ComputerManufacturers Association)是一项计算机编程语言标准，其将ECMAScript编程语言进行了标准化。JScript脚本语言作为ECMAScript编程语言方言(与ECMAScript不完全兼容)实现，并运用于Windows操作系统上。

发明内容

本发明要解决的技术问题是JScript脚本容易进行文本混淆，造成可读性差，难以分析其执行逻辑，继而达到隐藏其潜在危害性的目的，鉴于此，本发明提供一种安全可控，动态执行，暴露与识别恶意JScript程序的方法。

为解决上述技术问题，本发明提供的技术方案为：一种基于PE虚拟沙盒实现JS脚本虚拟沙盒的方法，包括以下步骤：

第一步，启动基于PE的虚拟沙盒，构建封闭、防逃逸的运行环境，用以保障运行其内的PE程序不会破坏其真实的操作系统环境，虚拟沙盒通过模拟仿真系统API，为运行其内的应用程序提供了运行时资源支持(包括但不限于文件系统操作，内存管理，注册表服务等)；

第二步，载入并初始化JScript脚本虚拟沙盒，该沙盒提供JScript脚本运行环境，该环境是一组可运行的PE格式的程序，完全运行于PE虚拟沙盒之内，与真实操作系统无直接交互，运行于该虚拟沙盒的JScript程序，通过调用第一步中PE虚拟沙盒提供的，兼容于真实Windows系统的API访问，修改系统资源；

第三步，载入并运行待检测的JScript脚本，此脚本完全运行于JScript脚本虚拟沙盒之内，与PE虚拟沙盒无直接交互；

第四步，监测并记录JScript脚本运行过程中产出的文件及API调用，直至程序退出；

第五步，根据第四步产出，判定此次检测结果，判定依据包含且不限于：1)其运行过程中调用过哪些API；2)请求和/或访问过哪些系统资源；3)产出文件有哪些特征，是否包含敏感字段，是否是已知的恶意程序；4)是否删除/篡改沙盒(与真实系统一致)内重要的文件；5)是否访问已知恶意网络站点，下载已知恶意程序；6)；是否记录用户输入设备；7)其他疑似对系统造成破坏/泄露的行为；

第六步，如果第五步检测判定为恶意程序，给出恶意程序类别，检测结束；

第七步，如果第五步检测判定为可信程序，给出判定结果，检测结束。

本发明与现有技术相比的优点在于：本方案通过提供基于PE虚拟沙盒来保障恶意程序识别过程的安全性，该沙盒为Windows系统PE格式的可执行程序提供虚拟仿真的运行环境，既保障程序正确执行，又防止其产生逃逸，威胁到真实运行环境。

进一步的，第四步的JScript脚本运行过程如下：1)JScript程序调用的操作系统API被PE虚拟沙盒记录；2)JScript程序创建/访问/修改/删除文件功能由操作系统API提供并执行，执行结果存在于PE虚拟沙盒内，可通过PE虚拟沙盒API获取/访问；3)JScript程序执行周期内对系统资源的访问/修改，由操作系统API提供并执行，执行结果存在于PE虚拟沙盒内，可通过PE虚拟沙盒API获取/访问。

附图说明