在线沙盒(恶意软件行为分析工具)整理介绍

在进行未知文件分析时,有时我们需要实际运行它,并记录他的一切行为,进而对其进行分析。当然,我们可以用真机或者虚拟机,结合一些行为记录软件来进行测试,但在线沙盒有时会更加方便实用。下面就介绍几个我找到的在线沙盒。

1 火眼(https://fireeye.ijinshan.com)

        火眼是国内的一个在线文件分析站点,由金山公司开发。在这里,你可以提交自己的文件进行分析,目前支持30MB以下的APK,EXE,DLL,BAT,HTML,JS,VBS,MSI特定格式的压缩包。对于新提交的文件,会首先获取文件的MD5,sha-1签名,与已检测的文件数据库中的数据进行对比,如果已经存在,则会提示选择是重新分析还是查看最近一次分析结果。 另外,还可以查看已存在的其它文件的分析报告。 报告中的信息包括文件的基本信息(文件名,大小,类型,时间,MD5,SHA-1),点评,危险行为,其它行为(文件操作,注册表操作,进程操作,网络访问,还有运行截图)。

          这貌似是国内唯一的一个对外公开的在线沙盒,最重要的是免费。只要回答注册然后回答几个问题就可以使用。而且还是中文的看着舒服。而且还有关键行为的时间轴报告,看起来比较简单明了。总体来说,就是简单方便,但是专业性可能略显不足。 如果再说一个优点的话,就是不用

          再来介绍几个国外的。

2 VIRUSTOTAL(www.virustotal.com)

        VirusTotal是一个免费的病毒,蠕虫,木马和各种恶意软件分析服务。可以针对可疑文件和网址进行快速检测。 最大文件大小为64M。文件上传后会先计算哈希值,与已检测的文件数据库中的数据进行对比,如果已经存在,则会提示选择是重新分析还是查看最近一次分析结果。 分析报告中,包括病毒检出率(51个杀毒引擎查杀)文件详细信息(文件头,字符串,环境变量,运行时库),文件操作,网络操作(HTTP,DNS,TCP,UDP),进程操作,互斥体,HOOK,窗口操作.

         不得不承认,VirusTotal做的比国内的火眼专业很多,各种信息记录的更加详尽,不仅记录了各种操作,并且记载了他们的执行是否成功,并且对各种信息进行了更加细致的分类。你几乎可以找到所有你想要找的除了源代码之外的文件信息和行为记录。而且速度在国外网站中算是比较快的了,不过还是需要用VPN。再有就是只能上传自己的文件,或者根据MD5,URL,IP等信息来查询报告,而没有一个索引来查看所有报告。这个其实也算不上缺点,只能说是小小的不足。总归瑕不掩瑜,这个网站绝对称得上专业两个字。


3 ThreatExpert(http://www.threatexpert.com)

         ThreatExpert is an advanced automated threat analysis system designed to analyze and report the behavior of computer viruses, worms, trojans, adware, spyware, and other security-related risks in a fully automated mode.In only a few minutes ThreatExpert can process a sample and generate a highly detailed threat report with the level of technical detail that matches or exceeds antivirus industry standards such as those normally found in online virus encyclopedias.

           偷个小懒,介绍直接贴网站上面的了。主要是我英文也不是太好,怕翻译错了。和前面几个基本大同小异,也是主要有文件操作,注册表操作和网络操作的记录这些基本功能。另外如果文件中识别出某个病毒的特征字串,也会在报告中显示出来。另外网站上还可以查询所有已知威胁,包括名字,威胁等级,和简单的描述。


4 Anubis(http://anubis.iseclab.org)

          Anubis(阿努比斯)也是一个恶意软件分析的服务器,可以提交URL和文件进行分析,分析报告可以选择HTML,XML,PDF,TXT,PDF五种格式,报告中包含了测试文件及其释放文件的文件操作,网络操作,注册表操作等信息。并且对这些操作进行了细分。

5 joe(http://www.joesecurity.org)

         这个貌似没有找到提交文件的地方,但是上面有一些已经存在的报告。报告的信息特别全。与之对应的,打开的速度就稍微慢了一些。但是内容真的是特别的多,只有你想不到,没有你找不到。不过看着最新的一个样本是两个月之前的。而且貌似是两个月左右更新一次。作为学习之用应该是非常不错的。


6 其它

      还有几个,和上面的都差不太多,但是也各有特色。如malwr(https://malwr.com),毛豆(http://camas.comodo.com)。总之,这些做基本分析的话会比虚拟机之类的方便很多。不过,如果有一些特殊要求,可能还是自己来做。



你可能感兴趣的:(网络安全)