在线沙盒(恶意软件行为分析工具)整理介绍
在進行未知文件分析時,有時我們需要實際運行它,并記錄他的一切行為,進而對其進行分析。當然,我們可以用真機或者虛擬機,結合一些行為記錄軟件來進行測試,但在線沙盒有時會更加方便實用。下面就介紹幾個我找到的在線沙盒。
1 火眼(https://fireeye.ijinshan.com)
??????? 火眼是國內的一個在線文件分析站點,由金山公司開發。在這里,你可以提交自己的文件進行分析,目前支持30MB以下的APK,EXE,DLL,BAT,HTML,JS,VBS,MSI和特定格式的壓縮包。對于新提交的文件,會首先獲取文件的MD5,sha-1簽名,與已檢測的文件數據庫中的數據進行對比,如果已經存在,則會提示選擇是重新分析還是查看最近一次分析結果。 另外,還可以查看已存在的其它文件的分析報告。 報告中的信息包括文件的基本信息(文件名,大小,類型,時間,MD5,SHA-1),點評,危險行為,其它行為(文件操作,注冊表操作,進程操作,網絡訪問,還有運行截圖)。
????????? 這貌似是國內唯一的一個對外公開的在線沙盒,最重要的是免費。只要回答注冊然后回答幾個問題就可以使用。而且還是中文的看著舒服。而且還有關鍵行為的時間軸報告,看起來比較簡單明了。總體來說,就是簡單方便,但是專業性可能略顯不足。 如果再說一個優點的話,就是不用翻墻
????????? 再來介紹幾個國外的。
2 VIRUSTOTAL(www.virustotal.com)
??????? VirusTotal是一個免費的病毒,蠕蟲,木馬和各種惡意軟件分析服務。可以針對可疑文件和網址進行快速檢測。 最大文件大小為64M。文件上傳后會先計算哈希值,與已檢測的文件數據庫中的數據進行對比,如果已經存在,則會提示選擇是重新分析還是查看最近一次分析結果。 分析報告中,包括病毒檢出率(51個殺毒引擎查殺)文件詳細信息(文件頭,字符串,環境變量,運行時庫),文件操作,網絡操作(HTTP,DNS,TCP,UDP),進程操作,互斥體,HOOK,窗口操作.
???????? 不得不承認,VirusTotal做的比國內的火眼專業很多,各種信息記錄的更加詳盡,不僅記錄了各種操作,并且記載了他們的執行是否成功,并且對各種信息進行了更加細致的分類。你幾乎可以找到所有你想要找的除了源代碼之外的文件信息和行為記錄。而且速度在國外網站中算是比較快的了,不過還是需要用VPN。再有就是只能上傳自己的文件,或者根據MD5,URL,IP等信息來查詢報告,而沒有一個索引來查看所有報告。這個其實也算不上缺點,只能說是小小的不足。總歸瑕不掩瑜,這個網站絕對稱得上專業兩個字。
3 ThreatExpert(http://www.threatexpert.com)
???????? ThreatExpert is an advanced automated threat analysis system designed to analyze and report the behavior of computer viruses, worms, trojans, adware, spyware, and other security-related risks in a fully automated mode.In only a few minutes ThreatExpert can process a sample and generate a highly detailed threat report with the level of technical detail that matches or exceeds antivirus industry standards such as those normally found in online virus encyclopedias.
???????? ? 偷個小懶,介紹直接貼網站上面的了。主要是我英文也不是太好,怕翻譯錯了。和前面幾個基本大同小異,也是主要有文件操作,注冊表操作和網絡操作的記錄這些基本功能。另外如果文件中識別出某個病毒的特征字串,也會在報告中顯示出來。另外網站上還可以查詢所有已知威脅,包括名字,威脅等級,和簡單的描述。
4 Anubis(http://anubis.iseclab.org)
????????? Anubis(阿努比斯)也是一個惡意軟件分析的服務器,可以提交URL和文件進行分析,分析報告可以選擇HTML,XML,PDF,TXT,PDF五種格式,報告中包含了測試文件及其釋放文件的文件操作,網絡操作,注冊表操作等信息。并且對這些操作進行了細分。
5 joe(http://www.joesecurity.org)
???????? 這個貌似沒有找到提交文件的地方,但是上面有一些已經存在的報告。報告的信息特別全。與之對應的,打開的速度就稍微慢了一些。但是內容真的是特別的多,只有你想不到,沒有你找不到。不過看著最新的一個樣本是兩個月之前的。而且貌似是兩個月左右更新一次。作為學習之用應該是非常不錯的。
6 其它
????? 還有幾個,和上面的都差不太多,但是也各有特色。如malwr(https://malwr.com),毛豆(http://camas.comodo.com)。總之,這些做基本分析的話會比虛擬機之類的方便很多。不過,如果有一些特殊要求,可能還是自己來做。
總結
以上是生活随笔為你收集整理的在线沙盒(恶意软件行为分析工具)整理介绍的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 编译tensorflow1.15.4,使
- 下一篇: 程序员都有一张早衰的脸?但入职前,谁还不