(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211106226.0 (22)申请日 2022.09.09 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 吴吞　何昆　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 专利代理师 孙宝海 (51)Int.Cl. G06F 11/36(2006.01) G06F 9/50(2006.01) (54)发明名称 基于符号执行的沙箱防御检测方法及相关 设备 (57)摘要 本公开提供了一种基于符号执行的沙箱防 御检测方法、 虚拟机、 计算机可读存储介质及沙 箱设备， 涉及通信技术领域， 该方法包括： 导入待 检测程序； 按照待检测程序的符号执行顺序， 依 次决定执行或绕过待检测程序的分支； 以及直到 遍历所有分支之后， 得到符号执行的恶意路径。 本方法可以实现通过符号执行的方法遍历所有 可能的路径对抗恶意代码的沙箱 检测， 从而使恶 意代码无法躲避沙箱检测， 有效减少沙箱逃逸并 且降低了 检测成本 。 权利要求书2页 说明书9页 附图5页 CN 115509898 A 2022.12.23 CN 115509898 A 1.一种基于符号执行的沙箱防御检测方法， 其特征在于， 应用于虚拟机， 所述方法包 括： 导入待检测程序； 按照所述待检测程序的符号执行顺序， 依次决定执行或绕过所述待检测程序的分支； 以及 直到遍历所有分支之后， 得到符号执 行的恶意路径。 2.根据权利要求1所述的基于符号执行的沙箱防御检测方法， 其特征在于， 按照所述待 检测程序的符号执 行顺序， 依次决定执 行或绕过 所述待检测程序的分支的步骤 包括： 根据所述待检测程序的符号执行顺序， 绕过具有检测意图特征的分支并执行没有检测 意图特征的分支。 3.根据权利要求1所述的基于符号执行的沙箱防御检测方法， 其特征在于， 根据 所述待 检测程序的符号执行顺序， 绕过具有检测意图特征的分支并执行没有检测意图特征的分支 的步骤包括： 定义目标字典列表； 响应于所述分支的函数调用指令， 将所述函数调用指令的参数与所述目标字典列表进 行匹配； 以及 若匹配成功， 则表征所述分支具有检测意图特征， 根据所述函数调用指令生成防御参 数并绕过 所述分支继续遍历下一个分支。 4.根据权利要求1所述的基于符号执行的沙箱防御检测方法， 其特征在于， 根据 所述待 检测程序的符号执行顺序， 绕过具有检测意图特征的分支并选择执行没有检测意图特征的 分支的步骤 包括： 获取所述分支的微处 理器检测指令； 以及 若所述微处理器指令满足预设类型， 则表征所述分支具有检测意图特征， 修改所述微 处理器指令生成防御参数并绕过 所述分支继续遍历下一个分支。 5.根据权利要求1所述的基于符号执行的沙箱防御检测方法， 其特征在于， 根据 所述待 检测程序的符号执行顺序， 绕过具有检测意图特征的分支并选择执行没有检测意图特征的 分支的步骤 包括： 为内存空间中的各个结构体的具体位置赋值； 若在基于符号执行顺序的分支中检测到 内存检测指令时， 则表征所述分支具有检测意 图特征， 获得与所述内存检测指令请求的内存空间中的至少一个具体位置的数值作为防御 参数并绕过 所述分支继续遍历下一个分支。 6.根据权利要求4所述的基于符号执行的沙箱防御检测方法， 其特征在于， 微处理器指 令的预设类别包括以下至少一项： 获取CPU信息、 获取系统的运行周期、 获取中断描述符表的地址、 获取全局描述符表的 地址。 7.根据权利要求6所述的基于符号执行的沙箱防御检测方法， 其特征在于， 所述内存检 测指令包括以下至少一项： CPU数量、 线程局部存 储地址。 8.一种虚拟机， 其特 征在于， 所述虚拟机包括：权　利　要　求　书 1/2 页 2 CN 115509898 A 2导入模块， 用于导入待检测程序； 防御检测模块， 用于按照所述待检测程序的符号执行顺序依次遍历所述待检测程序的 分支， 决定执 行或绕过 所述待检测程序的分支； 以及 路径输出模块， 用于直到遍历所有分支之后， 得到符号执 行的恶意路径。 9.一种沙箱设备， 其特 征在于， 包括： 处理器； 以及 存储器， 用于存 储所述处 理器的可 执行指令； 其中， 所述处理器配置为经由执行所述可执行指令来执行权利要求1～7中任意一项所 述的基于符号执 行的沙箱防御检测方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1～7中任意 一项所述的基于符号执 行的沙箱防御检测方法。权　利　要　求　书 2/2 页 3 CN 115509898 A 3