Al leer la ¿Diferencia entre el antivirus y el sandbox? , surgí Con la idea de cómo integrar un sandbox con AV. Cuando la caja de arena analiza la muestra y encuentra que el malware, el antivirus automáticamente invoca y elimina el malware. ¿Cómo puedo hacer esto?
En realidad, el software antivirus moderno en realidad ya usa un sandbox. Muchos de ellos ejecutarán archivos sospechosos en su propia caja de arena incorporada, mientras los monitorean para detectar comportamientos maliciosos durante una fracción de segundo. Si el software parece comportarse, el programa se vuelve a ejecutar con el sandbox deshabilitado. De lo contrario, el software AV pondrá en cuarentena o eliminará el archivo. Esta es una técnica común en el software antivirus heurístico. Tenga en cuenta que el malware a menudo tiene técnicas para evadir este método de detección ejecutando una tarea benigna el tiempo suficiente para que la comprobación de la zona de pruebas pase.
Bueno, los antivirus usan sandbox. (La mayoría de ellos). Puede usar un sandbox para desempaquetar un archivo que está empaquetado para el cual no ha diseñado un empaquetador. Los antivirus también usan emulación para tareas como estas. Sin embargo, hay una gran cantidad de bypasses basados en sandbox. enlace No es una buena idea confiar únicamente en los resultados de la ejecución de un archivo en un recinto de seguridad. Los AV también monitorean las llamadas a la API, etc. del programa que se ejecuta en el recinto de seguridad ...
Puede diseñar un sandbox utilizando QEMU KVM, etc. ... Personalmente, utilicé enlace para diseñar un sandbox porque soy un vago. Pero existen bastantes errores para libvirt ... enlace Pero Todavía lo usaría antes de implementar su propio código a menos que piense que su código contendrá menos errores.
Si desea emular un archivo PE, use el motor Unicorn.
Si desea ver un proyecto de código abierto: enlace