环境感知恶意代码(Context-Aware Malware)是一种具有辨别当前所处环境能力的恶意代码,通过在程序中加入检测沙箱系统或者虚拟机的功能,当检测处于受限环境时,恶意代码可以更改自身的执行流程躲避沙箱检测,从而增长存活时间。传统针对环境感知恶意代码的检测手段包括在沙箱操作系统中使用API Hook,删除沙箱特征文件等,但这些方法存在引入新痕迹和删除不干净等缺陷。为了提高沙箱的隐蔽性,借助虚拟机VMI(Virtual Machine Introspection,虚拟机自省)的能力设计一种在沙箱的VMM(Virtual Machine Monitor,虚拟机管理器)层使用API和指令Hook的方法,来有效的检测环境感知恶意代码。通过总结环境感知恶意代码常用检测沙箱特征的API和指令,从虚拟机特征,沙箱环境特征,通用环境特征,指令特征等几个方面,一一设计出防检测策略。再从注册表,文件系统,进程,虚拟硬件,特权指令等对这些防检测策略细分处理。同时设计敏感API的跟踪模块,记录恶意代码运行时的调用顺序和参数等信息,将调用的敏感参数写入日志文件,包括其沙箱检测的方法。根据这些防检测策略基于开源平台DECAF实现沙箱的原型系统,并对典型的环境感知恶意代码如WannaCry等进行测试。同时使用沙箱检测工具测试沙箱的隐蔽性,结果显示原型系统能够获取运行时恶意代码对环境的检测参数和API以及指令,表明原型系统具有良好的隐蔽性,能够有针对的检测环境感知恶意代码的行为。在对大量样本进行测试之后对比固定属性的沙箱,检测出的环境感知恶意代码行为数量较传统的固定属性沙箱提高了19.4%,补充了传统沙箱对这一类型恶意代码的检测。