将杀毒软件与沙箱集成

Question

在阅读防毒和沙箱的区别？时，我想出了如何将沙箱与AV集成的想法。当沙箱分析样本并发现恶意软件时，反病毒会自动调用和删除恶意软件。我该怎么做？

Answer 1

实际上，现代杀毒软件实际上已经使用了沙箱。他们中的许多人会在他们自己的内置沙箱中执行可疑文件，同时监视他们的恶意行为。如果软件显示自己的行为，程序将被重新执行，并禁用沙箱。否则，AV软件将隔离或删除该文件。这是启发式杀毒软件中常见的一种技术。请注意，恶意软件通常有一些技术可以通过运行一个良好的任务来避免这种检测方法，这样沙箱检查就可以通过。

Answer 2

好吧，杀毒软件确实是用沙箱的。(大部分都是沙箱。)它可以使用沙箱来解压没有为其设计的打包文件。反病毒也使用仿真来执行类似的任务。然而，有很多基于沙箱的旁路。https://wikileaks.org/ciav7p1/cms/page_3375582.html --仅仅依靠沙箱中运行文件的结果不是一个好主意。AV还监视在沙箱中运行的程序的API调用等。

你可以设计一个沙箱使用QEMU，KVM等。我个人使用https://sandbox.libvirt.org/来设计沙箱，因为我很懒。但是libvirt.https://www.cvedetails.com/product/20594/Redhat-Libvirt.html?vendor_id=25确实存在相当多的bug，但是在推出您自己的代码之前，我仍然会使用它，除非您认为您的代码包含的bug较少。

如果你想模仿PE文件，使用独角兽引擎。

如果您想查看一个开源项目：https://github.com/cuckoosandbox/cuckoo