- 帖子
- 336
- 精华
- 0
- 积分
- 684
- 智慧
- 336
- V 币
- 0
- 贡献
- 0
- 金豆
- 1008
- MV号码
- 1777777
- 注册时间
- 2010-4-29
- 最后登录
- 2011-2-17
|
楼主
发表于 2010-5-6 20:23
| 只看该作者
越来越多的杀毒软件已经将沙盒技术融入软件中,早在卡巴斯基7.0的启发式引擎中,就用到了“Emulator的沙盒技术。沙盒技术应该作为虚拟机的一个发展,传统的虚拟机只是虚拟一个CPU。沙盒除了要虚拟一个CPU以外,还要虚拟操作系统的一些数据结构等,要尽可能和操作系统做到一样。在沙盒中,启发式引擎可以像HIPS一样分析可疑文件的动作,并给出结论。相比HIPS,这是更安全的做法。
然而,模拟操作系统的复杂程度远胜于模拟CPU。模拟了Windows XP,要不要模拟Windows Vista?模拟了用户态,要不要模拟内核态?而内核态的复杂度就更高。
此外,和虚拟机一样,它也可能遇到“反沙盒”的病毒。虚拟机发展之初,还不很完善,有些多态病毒(一种自我加密、变形的病毒,可以做到每一份病毒副本,特征均不同)为了防止自己在虚拟机中执行,使用了许多反虚拟机的方法,可以用一些不正确的但是在真实系统却可以执行的代码引起虚拟机错误,也可以计算执行特定代码的时间,在虚拟机中运行的时间一般和真实系统不一样。总而言之,就是比较并区分虚拟的环境和真实的环境的区别,沙盒技术是否会面对类似挑战,还很难说。
另外,沙盒技术还遇到了性能方面的挑战,因为为了保证用户体验,不可能每个程序都放到沙盒中运行一遍,启发式引擎应当先扫描文件,再决定是否有必要放到沙盒中运行。 |
|
