如今,每天都有大量新的恶意软件涌现,利用自动化分析系统进行恶意软件动态分析比以往更为需要。自动化分析通常在沙箱环境中运行样本,以防止损坏或感染分析环境,同时可获得更高权限的观察。然而恶意软件开发者总是通过隐藏恶意软件的真实行为来来逃避沙箱检测,各种逃逸技术层出不穷。因此,反沙箱对抗技术的研究价值越来越高。首先,基于动态分析的反沙箱对抗技术利用Intel PT（Intel Processor Trace）记录控制流信息,通过恶意软件反汇编获得控制流图,匹配Intel PT数据和控制流图即可还原恶意软件的执行路径,从而可以识别恶意软件在分析期间尚未执行的所有代码位置。其次,通过丢弃错误处理函数,过滤这些未触发的代码位置,识别有价值的函数的子集。之后,追溯从这些未执行代码位置到依赖于环境条件的先前条件分支的执行路径。通过基于Hypervisor捕获的程序系统调用信息可以增强数据分析过程,准确度更高,而且捕获过程对恶意软件样本来说是透明的,难以被检测。应用符号执行来识别有价值的未执行基本块的路径条件,在这些路径上,使用求解器生成具体值以触发它们的执行。最后,通过调整系统环境确保所有环境条件都满足达到隐藏基本块所需的值,重新分析样本,执行隐藏基本块,从而达到多路径探索的效果,暴露恶意软件更多的行为供安全研究人员分析。针对基于动态分析的反沙箱对抗技术进行了功能性和有效性测试,通过对真实恶意软件Shamoon等的分析,反沙箱对抗技术能够有效地探索更多的路径,相关路径覆盖率的增加比大都在20%以上,并且可以获得其恶意行为的执行路径,确定触发恶意软件的条件,重现恶意攻击。