基于模拟器的沙箱系统研究

摘要

恶意软件为了防止被分析,通过检测其是否在沙箱环境下而表现出不同的行为,这种技术被称为反调试、反虚拟化技术.为了对抗这种技术,恶意软件的分析人员一直致力于保证沙箱环境和真实机器的一致性.文章通过分析现有沙箱系统的语义监控能力、实现原理以及存在的安全性问题,总结出现有的基于模拟器的沙箱系统具有隔离性好、全系统视角以及监控效率高的优势.另外,文章还分析了现有的基于模拟器的沙箱系统存在的透明性不足的原因.虽然基于硬件虚拟化的沙箱系统能够做到完全的透明性，但它的缺点却非常明显，如监控效率低、实现复杂性高。相比基于硬件虚拟化的沙箱，基于系统模拟器Qemu的沙箱在监控效率以及实现上都有很大的优势，但是现有的基于Qemu的沙箱系统在虚拟机中设置了代理，所以容易受到反虚拟化技术的攻击。在下一步的工作中，将依托Qemu研究透明的、不存在代理的沙箱系统。