在线分析工具的重新评测（2019年2月/2020年1月）

ThomasvH

2020-07更新说明
添加卡饭上的关于虚拟沙箱反检测技术的评测，和本文还是非常相关的，现在作为拓展阅读加在后面。
加入了链接，现在可以直接点击就到对应的网站去了。
根据现在的情况，重新排序了一下。
有很多人为此文提供了一些建议，列举出来也很多，为了避免忘掉感谢这件事情，在正文之后添加了特别鸣谢列表。
本次修改正文会使用绿色字体表述

2020-01更新说明
首先感谢论坛大佬@翼风Fly 的引用，我今天也是突然看到之前的内容，重新思考了一下，考察了一些之前发现有误差的内容，并且决定添加如下修正。
本次修改正文会使用蓝色字体表述

注意，对于其他沙箱/在线分析可能已经失效，或者并未失效但误判为失效，楼主尚未一一查明，仅作自己发现的内容的小部分更改，并不保证完整性和时效性了。（生活不易，楼主叹气）

更改1：Comodo的Camas沙箱并未凉掉，更名为Valkyrie继续提供服务。当时可能是因为证书安全问题（camas域名不在证书中，所以也就没有访问并且跳转到Valkyrie的页面上），被浏览器莫名拦截下来，导致我认为它凉掉了。
更改2：添加神器“微步云沙箱”，好到不要不要的。
更改3：添加hybrid-analysis，看上去和微步云沙箱简直一个模子套出来的。


2019-02正文

一，前言

我在论坛上走了不少的板块，也发现了这一种病毒分析的好工具，但是不管是52还是卡饭帖子都比较老，有一些也不详细，病毒样本区上挂的链接也有一些已经发生了变化，或者早已失效。所以我趁着这个时候重新认认真真做好总结与评测，做好这个很好用的安全工具的基础建设，为52添砖加瓦。

二，总览表
2.1 区分在线杀毒引擎与在线沙盒
在线杀毒引擎用的大多是国际上出名的杀毒厂商的引擎作为底层，对文件进行扫描，结论通常会反馈“无毒”或者杀毒引擎自己的代码。

在线沙盒用云端的机器跑一次程序，然后收集程序的相关信息。

两者各有与缺点，可以在细节评测里面看到。

2.2 表格展示
（请用电脑版获得更好观感）

	分析方式		支持类型			中文	费用	网址	备注
	引擎扫描	在线沙盒	exe	apk	网页
这些楼主强力推荐
微步云沙箱	√ 多引擎 国内引擎居多 给出评分	√ 极详细	√	×	√	√	免费	https://s.threatbook.cn/	限制20MB 分析详细，惊艳 只会中文的话是最好的选项
Virusscan	√ 多引擎	√ 转哈勃	√	√	×	√	免费	www.virscan.org	限制20M
哈勃分析	给出评分	√ 详细	√	√	×	√	免费	habo.qq.com	普通30M 高级100M
Virustotal	√ 多引擎	√ 详细	√	√	√	× 不完全	免费	www.virustotal.com	引擎详细报告因基于谷歌转载，无法查看。
魔盾	√ 多引擎 给出评分	√ 极详细	√	√	√	√	免费	www.maldun.com/analysis/	限制10MB 等待时间较长 5min左右 可以选择登录获得高优先、详细设置
Hybrid analysis	√ 多引擎 转载OPSWAT和Virustotal	√ 极详细 apk无沙箱，仅多引擎扫描	√	√	√	×	免费	www.hybrid-analysis.com	限制100MB 确实是非常方便 其中Falcon Sandbox是网站自己的产品
JoeSandbox (自己改名了)	给出评级 极为详细	√ 极详细	√	√	√	×	基础免费； 高级可试用； 高级收费43000￥每年	www.joesandbox.com	限制100M 基础版数量限制：10个/月,3个/天
楼主建议你留着过年 (工作正常，但相比而言不够上一等级)
OPSWAT Metadefender Cloud	√ 多引擎	×	√	√	√	×	免费	metadefender.opswat.com/	限制140M 上传网速有一点慢
Comodo Valkyrie	√ 多引擎	√	√	×	√	×	免费 存在收费版	valkyrie.comodo.com/	限制150M 特点是，收费版会人工复查 吐槽：开始更新文章我就向这个网页提交了文件，但是现在还没分析完。出结果太慢了，因此不是加粗字体的强力推荐。
Jotti's	√ 多引擎	×	√	√	×	√	免费	virusscan.jotti.org	限制250M 网速慢
楼主并未测试过的沙箱
现在的沙箱，功能差不多做到了能力的边界了，出现了一大批效果其实差不多的沙箱(甚至网页的排版都长得差不多了)。因为大同小异，所以楼主就不再测试这些沙箱。至少从表面功夫上看，打了粗体的这些沙箱都至少是和微步云一个水准的（即强力推荐，第一梯队的）。这个粗体加的很随性，没有什么具体的参考价值，只是算是我对美工的第一印象而已hhhh，在面对病毒的时候，多一个选择，更好一下。这些第一梯队内部的差别，大概就是背后的社区的活跃程度不一样罢了。
sndbox	初看没什么特殊点							app.sndbox.com	必须要登录
微点沙盒	初看没什么特殊点							https://sandbox.depthsec.com.cn/index.php/	无批注
奇安信文件深度分析平台	初看没什么特殊点							https://sandbox.ti.qianxin.com/sandbox/page	无批注
ANYRUN	比较有趣的是他的主页，那个全球数据可视化呈现比较亮眼							https://app.any.run/	无批注
CAPE Sandbox	初看没什么特殊点							https://capesandbox.com/	无批注
Bitdefender Sandbox	Bitdefender是国际一流老牌杀毒软件							https://capesandbox.com/	必须要发邮件请求demo测试
这些公司已经转型
CWSandbox Sunbelt Sandbox	合并为 Threattrack，沙盒Malware Analysis作为其中一个服务，不再提供网页分析								介绍 www.threattrack.com/malware-analysis.aspx
ThreatExpert	更名 Symantec Malware Analysis 被合并在网络安全服务中，不再提供网页分析								介绍 www.symantec.com/products/malware-analysis-service
Comodo	更名 Application Containment 被合并在网络安全服务中，不再提供网页分析 （这一项是错的，实际情况是，换了一个名字，见上方Comodo Valkyrie）								介绍 www.comodo.com/products.php?track=10945&af=10945
这些软件几乎无法工作，但是留一个名
FortiGuard Online Virus Scanner	√ 单引擎	×	√	×	×	×	免费	fortiguard.com/faq/onlinescanner	限制1M (你当真没有开玩笑？) 网速极慢
Scan This!	网速慢到没法验证内容						免费	scanthis.net	比较有特点的是，其工作方法是下载网页所指的文件并验证 网速慢到没法验证
NoDistribute	提交文件后无反应						免费 有收费项目	nodistribute.com	限制8M
Online Linkscan!	提交网址后无反应						免费	onlinelinkscan.com	网页不返回数据，并且其网页实时验证量状态都为零
这些网站已经不工作了
Norman Sandbox	被AVG收购 不再提供沙盒服务								官网 http://www.norman.com/homepage
金山火眼	官方放弃治疗								前网址 fireeye.ijinshan.com
Anubis	凉了 上一级网页宣称了其存在，然而没反应 同网站有一个软件lastline，包含了沙盒功能								介绍 www.symantec.com/products/malware-analysis-service

三、部分软件的细节评测
1，Virusscan

作为一种多引擎扫描的工具，这个对于大多数人来说很友好。然而体积有限而且行为分析是转载哈勃，不是特别详细，同时加上网页风格有一些旧，显得不怎么“高大上”。当然大家上传文件最好就来这里，大家都看得懂。

2，Virustotal



非常详细全面的多引擎工具，而且还支持网页分析。好像不管多大，你只要上传他就会分析，只不过有一些引擎不工作而已。
美中不足的是
1，中文（右下角选语言）不是特别完全，只有标题和部分文字汉化了。
2，其中的工具和报告新手难以驾驭，中间有一个关系图绘制器，我反正一直没有用会。
3，详细报告要梯子

3，OPSWAT Metadefender Cloud



网页很漂亮，支持体积也比国内很多网站大，但是信息量一般，没有什么技术上的亮点。

4，JoeSecurity

下方BASIC可以直接试用



作为在线沙盒，他的报告把我惊艳到了——怎么会有如此详细的报告！而且分析详细。但是太贵了，而且试用注册也要公司邮箱，我也不知道怎么回事，邮箱不对，就会说Captcha Invalid(验证无效)。我也就没有自己上传文件，但是还是很令人震撼


5，魔盾分析


免费！良心！高技术在线沙盒！还可以多引擎！
登陆之后还可以设置到底是什么系统，什么时长，做什么分析。
如果不是因为体积限制和速度，这个分析会成为第一。当然很多人是不需要这个的，只要查查毒就可以了，这里给出了几乎所有分析。


6，Jotti

好东西，而且支持体极大，但是上传网速只有100K左右，有些慢，而且支持的引擎也不多，只有一行代码反馈。

7，哈勃分析


腾讯系的一个好产品，虽然特点不多，而且也不够详细，但是对于普通的分析绰绰有余，也成为了分析的时候上传的一个好去处。
缺点是停止了高级账户的申请，普通用户的内容又是一些比较基本的信息。

6，微步云沙箱




微步云沙箱算是中文选手最好的去处了，分析也不算慢，结论也很丰富。


7，Hybrid-Analysis





推荐外文选手的去处。其实现在看来沙箱的水平都差不多，微步云沙箱主要差在在线分析工具不够国际化(当然反过来说，微步云沙箱应该更加接地气一些，因为本地化的引擎对于本地病毒了解更多)
可以注意到的是，上传之后的这个文件，因为系统不是中文的缘故，出现了乱码。

//////////////////////////////正文结束//////////////////////////////

拓展文章
翼风Fly在卡饭的帖子，内容更加广泛一些
https://bbs.kafan.cn/thread-1852164-1-1.html
关于各大沙箱反检测机制的测试。如果病毒都发现自己在沙箱里面了，肯定就会努力隐藏自己了，所以反检测是一个重要的课题：
https://bbs.kafan.cn/thread-2181869-1-1.html
特别鸣谢
感谢@翼风Fly 的引用，以及推荐的反虚拟机检测的文章。
感谢@mzltest 对拼写的纠正，以及建议的sndbox
感谢@610100 @y7y007 建议的微步。

这是一个基础建设，大家应该可以收藏起来，自己斟酌哪一款工具适合自己。也希望各位对里面的细节进行纠正与指正！

ThomasvH

翼风Fly 发表于 2019-5-14 23:56
好棒的整理！
目前已经收录于我在卡饭的整理汇总贴： https://bbs.kafan.cn/thread-1852164-1-1.html
52 ...

谢谢收录，我看了一下卡饭的帖子，正文介绍中的大部分在线沙箱已经不能工作了，建议对着这个文章检查一下

mzltest

ThomasvH 发表于 2020-2-20 06:17
joesandbox把病毒分析可以自动化的地方全都弄出来了，甚至，可以说用这个沙盒最重要的一点是，怎么从一大 ...

作为一个小白我表示joe只看前面的等级和可信度以及分类。。。
最近把金山毒霸安装程序去过了一下，鼠标应该是没点到安装就被认为是Malicious 99%confidence，得分52，分类evader（貌似也没毛病。。。

估计如果真正开始安装应该会很有趣）

另外sndbox的threat detection alliance不知道为什么感觉还有跟没有差不多。。。
PPS.
hybrid analysis那行
Hybridanalysis        √多引擎转载OPSWAT和Virustitol
vt好像全称是virus total吧。。。具体没用过，我里上不去

luriping198958

谢谢分享

zhaozhentian

好东西感谢分享

opop7913

好东西感谢分享

putiji

好东西感谢分享

猫宫日向

师傅 大佬
还在我没有带电子设备的时候 帮我公开注册

1024凑个整

谢谢大佬收集

ldwj3027

腾讯的哈勃分析不错，可以试试。

或者8

大佬这个非常好，很需要，谢谢

final999

感谢分享