防毒軟體整體架構分析與免殺繞過 (四)

防毒軟體整體架構分析與免殺繞過 (四)

沙盒模組

沙盒模組應該各位都不陌生，大家都玩過虛擬機，那沙盒的定義就是虛擬機的意思。

把程式關進沙盒讓他執行。

市面上有名的VMware與VirtualBox，兩者都是能把作業系統關在內部讓他執行，本機電腦不受任何影響。

防毒的最後防線就是沙盒模組。

把逆向分析後的檔案，做最後一次的分析，丟入沙盒裡面執行，如果檔案企圖竄改作業系統的某些功能，或是收集個人資料，利用後門的連結，把資料往外傳送，那這時候防毒軟體就立刻執行殺毒。

----------------------------------------------------------------------------------------------

沙盒模組開始執行之前，會調用作業系統所有的API接口，讓檔案能夠去執行

經過完全分析完成執行檔所有內容之後，當防毒判斷為無害檔案，即會放行檔案正常執行。

有些是可以無檔案來繞過沙盒，利用網址當參數來傳遞指令，再用指令下載一些惡意的檔案，這些檔案看起來都是無害的，但是這都是繞過沙盒的辦法。

-----------------------------------------------------------------------------------------------

無檔案的惡意程序已經能夠開始量化，更讓分析師頭大。要解決可能要花很長的時間。



沙盒模組寫起來很困難，但是理解這個原理非常容易。


下一篇會說明網路模組，很簡單。


請各位多加關注~~



防毒軟體整體架構分析與免殺繞過 (五)