從事信息安全技術行業的小伙伴們都知道沙箱技術(有些也稱沙盒),用來判斷一個程序或者文件是否是惡意的病毒、木馬、漏洞攻擊exp或其他惡意軟件。其原理簡單來說就是提供了一個虛擬的環境,把分析目標放到這個虛擬環境中,通過一系列技術來“觀測”其行為,根據觀測結果來判定這是一個正常良民(合法文件)還是一個不懷好意的壞家伙(惡意文件)。
說起沙箱技術,最出名的當屬國外的FireEye。國內也有許多廠商推出沙箱產品,不過,這其中有相當部分廠商和團隊都弘揚了拿來主義精神:基於開源的cuckoo進行二次開發,小軒也不例外
。但網絡上關於cuckoo的介紹實在有限,於是花了點時間將cuckoo代碼進行了粗淺分析,整理繪制了cuckoo技術全景圖,分享出來,歡迎探討。
博客園上傳不了高清大圖,需要的朋友掃二維碼點擊原文鏈接獲取了,並有詳細分析
