Не раз писал, что ни одна технология не является серебряной пулей от всего спектра возможных угроз, и только их совокупность, поскольку любой подход имеет свои плюсы и минусы, что делает его эффективным в одних случаях и практически бесполезным в других. Аналогично в здесь: некорректно утверждать, что песочницы более эффективны, или обратное.
Песочницы имеют преимущество - поскольку это выделенная среда, она не имеет ресурсных ограничений, что позволяет выполнять сколь угодно глубокую эмуляцию без риска нарушения нормального функционирования системы. Их нестрашно сломать, поэтому можно без риска выполнять нестабильные проверки, часто дающие более качественный результат. Очевидным недостатком является искусственность среды, которую крайне сложно скрыть, поэтому ВПО, с применением известных усилий, практически всегда может установить, что оно запущено в песочнице и демонстрировать иное поведение. В целом, ПО пытающееся установить, что оно запущено под эмуляцией, уже за эти попытки можно детектить, однако определить нелигитимность (да и вообще, наличие) таких проверок не всегда возможно, поскольку техник инвентаризировать свое окружение великое множество, начиная с банальной проверки подписи драйверов оборудования, и заканчивая применением машобуча для классификации действий пользователя, чтобы отличить автомата-эмулятора от реально работающего пользователя.
Anti-malware (АМ) движки - напротив, представляют собой реальную среду исполнения ВПО и поэтому дают максимально достоверные сведения об исполнении ПО в фактическом окружении. Реальные рабочие станции предоставляют более достоверную информацию для анализа. Но, поскольку реальные системы должны выполнять реальные задачи, а не функцию исследовательской инфраструктуры, возможно наличие ресурсных ограничений, не позволяющих "дотянуться" до всех интересующих компонентов. Ну и, конечно, ни о каких нестабильных перехватах речи идти не может.
Видно, что преимущества одной технологии одновременно являются недостатками другой, поэтому и в этом случае только комбинация подходов покажет максимальную эффективность.
Песочницы имеют преимущество - поскольку это выделенная среда, она не имеет ресурсных ограничений, что позволяет выполнять сколь угодно глубокую эмуляцию без риска нарушения нормального функционирования системы. Их нестрашно сломать, поэтому можно без риска выполнять нестабильные проверки, часто дающие более качественный результат. Очевидным недостатком является искусственность среды, которую крайне сложно скрыть, поэтому ВПО, с применением известных усилий, практически всегда может установить, что оно запущено в песочнице и демонстрировать иное поведение. В целом, ПО пытающееся установить, что оно запущено под эмуляцией, уже за эти попытки можно детектить, однако определить нелигитимность (да и вообще, наличие) таких проверок не всегда возможно, поскольку техник инвентаризировать свое окружение великое множество, начиная с банальной проверки подписи драйверов оборудования, и заканчивая применением машобуча для классификации действий пользователя, чтобы отличить автомата-эмулятора от реально работающего пользователя.
Anti-malware (АМ) движки - напротив, представляют собой реальную среду исполнения ВПО и поэтому дают максимально достоверные сведения об исполнении ПО в фактическом окружении. Реальные рабочие станции предоставляют более достоверную информацию для анализа. Но, поскольку реальные системы должны выполнять реальные задачи, а не функцию исследовательской инфраструктуры, возможно наличие ресурсных ограничений, не позволяющих "дотянуться" до всех интересующих компонентов. Ну и, конечно, ни о каких нестабильных перехватах речи идти не может.
Видно, что преимущества одной технологии одновременно являются недостатками другой, поэтому и в этом случае только комбинация подходов покажет максимальную эффективность.