本發(fā)明公開了一種目標樣本文件的檢測方法和裝置，包括：從數據源接收目標樣本文件，將所述目標樣本文件投放到沙箱中運行；在所述目標樣本文件在沙箱中運行的過程中，監(jiān)聽沙箱中用于阻止內核執(zhí)行用戶空間的代碼的保護機制是否失效；是則，確定所述目標樣本文件是威脅樣本文件；否則，確定所述目標樣本文件不是威脅樣本文件。本方案以沙箱作為虛擬載體運行目標樣本文件，能夠清晰地檢測到目標樣本文件的所有運行軌跡，全面分析得到目標樣本文件相關的特征信息，根據目標樣本文件相關的特征信息可以更為準確地判斷所述目標樣本文件在虛擬機中運行的過程中是否發(fā)生進程屬性修改事件，進而確定出威脅樣本文件，為后續(xù)信息安全防護提供參考和依據。