Durante la lettura della Differenza tra antivirus e sandbox? , sono arrivato con l'idea di come integrare una sandbox con AV. Quando la sandbox analizza il campione e rileva che il malware, l'antivirus chiama e rimuove automaticamente il malware. Come posso fare questo?
In realtà, il software antivirus moderno in realtà utilizza già una sandbox. Molti di loro eseguiranno file sospetti nella loro sandbox integrata, monitorandoli per un comportamento malevolo per una frazione di secondo. Se il software sembra comportarsi da solo, il programma viene rieseguito con sandbox disabilitato. In caso contrario, il software AV mette in quarantena o elimina il file. Questa è una tecnica comune nel software antivirus euristico. Nota che il malware spesso ha delle tecniche per eludere questo metodo di rilevamento eseguendo un'attività benigna abbastanza a lungo da consentire il passaggio del controllo sandbox.
Bene, l'antivirus usa la sandbox. (La maggior parte di essi). Può utilizzare una sandbox per decomprimere un file che non ha progettato per esso un pacchetto. Gli antivirus utilizzano anche l'emulazione per attività come queste. Tuttavia, ci sono molti bypass basati su sandbox. link Non è una buona idea affidarsi solo ai risultati dell'esecuzione di un file in una sandbox. Inoltre, l'AV monitora le chiamate API ecc del programma in esecuzione nella sandbox ...
Puoi progettare una sandbox usando QEMU KVM ecc ... Personalmente ho usato link per progettare una sandbox perché sono pigro. Ma esistono un bel po 'di bug per libvirt ... link Ma Lo userò ancora prima di lanciare il tuo codice a meno che tu pensi che il tuo codice conterrà meno bug.
Se si desidera emulare un file PE, utilizzare un motore unicorno.
Se vuoi vedere un progetto open source: link