基于ETW Hook的自动化恶意代码分析沙箱设计
前言 本文中的沙箱,均指一个受控、虚拟化的环境,专门用来自动运行、监控和分析可疑程序的行为。传统的沙箱根据监控、收集恶意软件行为的方式,可以分为两种模式:一种是基于API Hook的沙箱,如Cuckoo;一种是基于虚拟化技术(VT-x with EPT)的沙箱,如DrakVuf。 ...
前言 本文中的沙箱,均指一个受控、虚拟化的环境,专门用来自动运行、监控和分析可疑程序的行为。传统的沙箱根据监控、收集恶意软件行为的方式,可以分为两种模式:一种是基于API Hook的沙箱,如Cuckoo;一种是基于虚拟化技术(VT-x with EPT)的沙箱,如DrakVuf。 ...