好友
阅读权限10
听众
最后登录1970-1-1
|
本帖最后由 ThomasvH 于 2020-7-8 18:39 编辑
2020-07更新说明
添加卡饭上的关于虚拟沙箱反检测技术的评测,和本文还是非常相关的,现在作为拓展阅读加在后面。
加入了链接,现在可以直接点击就到对应的网站去了。
根据现在的情况,重新排序了一下。
有很多人为此文提供了一些建议,列举出来也很多,为了避免忘掉感谢这件事情,在正文之后添加了特别鸣谢列表。
本次修改正文会使用绿色字体表述
2020-01更新说明
首先感谢论坛大佬@翼风Fly 的引用,我今天也是突然看到之前的内容,重新思考了一下,考察了一些之前发现有误差的内容,并且决定添加如下修正。
本次修改正文会使用蓝色字体表述
注意,对于其他沙箱/在线分析可能已经失效,或者并未失效但误判为失效,楼主尚未一一查明,仅作自己发现的内容的小部分更改,并不保证完整性和时效性了。(生活不易,楼主叹气)
更改1:Comodo的Camas沙箱并未凉掉,更名为Valkyrie继续提供服务。当时可能是因为证书安全问题(camas域名不在证书中,所以也就没有访问并且跳转到Valkyrie的页面上),被浏览器莫名拦截下来,导致我认为它凉掉了。
更改2:添加神器“微步云沙箱”,好到不要不要的。
更改3:添加hybrid-analysis,看上去和微步云沙箱简直一个模子套出来的。
2019-02正文
一,前言
我在论坛上走了不少的板块,也发现了这一种病毒分析的好工具,但是不管是52还是卡饭帖子都比较老,有一些也不详细,病毒样本区上挂的链接也有一些已经发生了变化,或者早已失效。所以我趁着这个时候重新认认真真做好总结与评测,做好这个很好用的安全工具的基础建设,为52添砖加瓦。
二,总览表
2.1 区分在线杀毒引擎与在线沙盒
在线杀毒引擎用的大多是国际上出名的杀毒厂商的引擎作为底层,对文件进行扫描,结论通常会反馈“无毒”或者杀毒引擎自己的代码。
在线沙盒用云端的机器跑一次程序,然后收集程序的相关信息。
两者各有与缺点,可以在细节评测里面看到。
2.2 表格展示
(请用电脑版获得更好观感)
| 分析方式 | 支持类型 | 中文 | 费用 | 网址 | 备注 | 引擎扫描 | 在线沙盒 | exe | apk | 网页 | 这些楼主强力推荐 | 微步云沙箱 | 给出评分 | √
极详细 | √ | × | √ | √ | 免费 | https://s.threatbook.cn/ | 限制20MB 分析详细,惊艳 只会中文的话是最好的选项
| Virusscan | | √ 转哈勃 | √ | √ | ×
| √ | 免费 | www.virscan.org | 限制20M | 哈勃分析 | 给出评分 | √ 详细 | √ | √ | × | √ | 免费 | | 普通30M
高级100M | Virustotal | √ 多引擎 | √
详细 | √ | √ | √ | × 不完全 | 免费 | www.virustotal.com | 引擎详细报告因基于谷歌转载,无法查看。 | 魔盾 | 给出评分 | √
极详细 | √ | √ | √ | √ | 免费 | www.maldun.com/analysis/ | 限制10MB
等待时间较长 5min左右
可以选择登录获得高优先、详细设置 | Hybrid
analysis | | √ 极详细
apk无沙箱,仅多引擎扫描
| √ | √
| √ | × | 免费 | www.hybrid-analysis.com | 限制100MB 确实是非常方便 其中Falcon Sandbox是网站自己的产品
| JoeSandbox (自己改名了)
| 给出评级
极为详细 | √
极详细 | √ | √ | √ | × | 基础免费; 高级可试用; 高级收费43000¥每年
| www.joesandbox.com | 限制100M 基础版数量限制:10个/月,3个/天 | 楼主建议你留着过年 (工作正常,但相比而言不够上一等级) | OPSWAT Metadefender Cloud | | × | √ | √ | √ | × | 免费 | | 限制140M
上传网速有一点慢 | Comodo
Valkyrie | | √ | √ | × | √ | × | 免费 存在收费版
| | 限制150M
特点是,收费版会人工复查 吐槽:开始更新文章我就向这个网页提交了文件,但是现在还没分析完。出结果太慢了,因此不是加粗字体的强力推荐。
| Jotti's | | × | √ | √ | × | √
| 免费 | | 限制250M 网速慢 | 楼主并未测试过的沙箱 | 现在的沙箱,功能差不多做到了能力的边界了,出现了一大批效果其实差不多的沙箱(甚至网页的排版都长得差不多了)。因为大同小异,所以楼主就不再测试这些沙箱。至少从表面功夫上看,打了粗体的这些沙箱都至少是和微步云一个水准的(即强力推荐,第一梯队的)。这个粗体加的很随性,没有什么具体的参考价值,只是算是我对美工的第一印象而已hhhh,在面对病毒的时候,多一个选择,更好一下。这些第一梯队内部的差别,大概就是背后的社区的活跃程度不一样罢了。 | sndbox | 初看没什么特殊点
| | 必须要登录 | 微点沙盒 | 初看没什么特殊点 | https://sandbox.depthsec.com.cn/index.php/ | 无批注
| 奇安信文件深度分析平台 | 初看没什么特殊点 | https://sandbox.ti.qianxin.com/sandbox/page | 无批注 | ANYRUN | 比较有趣的是他的主页,那个全球数据可视化呈现比较亮眼
| https://app.any.run/ | 无批注 | CAPE Sandbox | 初看没什么特殊点 | https://capesandbox.com/ | 无批注 | Bitdefender Sandbox | Bitdefender是国际一流老牌杀毒软件 | https://capesandbox.com/ | 必须要发邮件请求demo测试 | 这些公司已经转型 | CWSandbox
Sunbelt Sandbox | 合并为 Threattrack,沙盒Malware Analysis作为其中一个服务,不再提供网页分析 | 介绍 www.threattrack.com/malware-analysis.aspx | ThreatExpert | 更名 Symantec Malware Analysis 被合并在网络安全服务中,不再提供网页分析 | 介绍 www.symantec.com/products/malware-analysis-service | Comodo | 更名 Application Containment 被合并在网络安全服务中,不再提供网页分析 (这一项是错的,实际情况是,换了一个名字,见上方Comodo Valkyrie)
| 介绍 www.comodo.com/products.php?track=10945&af=10945 | 这些软件几乎无法工作,但是留一个名 | FortiGuard Online Virus Scanner | | × | √ | × | × | × | 免费 | | 限制1M (你当真没有开玩笑?) 网速极慢 | Scan This! | 网速慢到没法验证内容 | 免费 | | 比较有特点的是,其工作方法是下载网页所指的文件并验证 网速慢到没法验证 | NoDistribute | 提交文件后无反应 | 免费 有收费项目 | | 限制8M | Online Linkscan! | 提交网址后无反应 | 免费 | | 网页不返回数据,并且其网页实时验证量状态都为零 | 这些网站已经不工作了 | Norman Sandbox | 被AVG收购
不再提供沙盒服务 | 官网 http://www.norman.com/homepage | 金山火眼 | 官方放弃治疗 | 前网址 fireeye.ijinshan.com | Anubis | 凉了 上一级网页宣称了其存在,然而没反应 同网站有一个软件lastline,包含了沙盒功能 | 介绍 www.symantec.com/products/malware-analysis-service |
三、部分软件的细节评测
1,Virusscan
作为一种多引擎扫描的工具,这个对于大多数人来说很友好。然而体积有限而且行为分析是转载哈勃,不是特别详细,同时加上网页风格有一些旧,显得不怎么“高大上”。当然大家上传文件最好就来这里,大家都看得懂。
2,Virustotal
非常详细全面的多引擎工具,而且还支持网页分析。好像不管多大,你只要上传他就会分析,只不过有一些引擎不工作而已。
美中不足的是
1,中文(右下角选语言)不是特别完全,只有标题和部分文字汉化了。
2,其中的工具和报告新手难以驾驭,中间有一个关系图绘制器,我反正一直没有用会。
3,详细报告要梯子
3,OPSWAT Metadefender Cloud
网页很漂亮,支持体积也比国内很多网站大,但是信息量一般,没有什么技术上的亮点。
4,JoeSecurity
下方BASIC可以直接试用
作为在线沙盒,他的报告把我惊艳到了——怎么会有如此详细的报告!而且分析详细。但是太贵了,而且试用注册也要公司邮箱,我也不知道怎么回事,邮箱不对,就会说Captcha Invalid(验证无效)。我也就没有自己上传文件,但是还是很令人震撼
5,魔盾分析
免费!良心!高技术在线沙盒!还可以多引擎!
登陆之后还可以设置到底是什么系统,什么时长,做什么分析。
如果不是因为体积限制和速度,这个分析会成为第一。当然很多人是不需要这个的,只要查查毒就可以了,这里给出了几乎所有分析。
6,Jotti
好东西,而且支持体极大,但是上传网速只有100K左右,有些慢,而且支持的引擎也不多,只有一行代码反馈。
7,哈勃分析
腾讯系的一个好产品,虽然特点不多,而且也不够详细,但是对于普通的分析绰绰有余,也成为了分析的时候上传的一个好去处。
缺点是停止了高级账户的申请,普通用户的内容又是一些比较基本的信息。
6,微步云沙箱
微步云沙箱算是中文选手最好的去处了,分析也不算慢,结论也很丰富。
7,Hybrid-Analysis
推荐外文选手的去处。其实现在看来沙箱的水平都差不多,微步云沙箱主要差在在线分析工具不够国际化(当然反过来说,微步云沙箱应该更加接地气一些,因为本地化的引擎对于本地病毒了解更多)
可以注意到的是,上传之后的这个文件,因为系统不是中文的缘故,出现了乱码。
//////////////////////////////正文结束//////////////////////////////
拓展文章
翼风Fly在卡饭的帖子,内容更加广泛一些
https://bbs.kafan.cn/thread-1852164-1-1.html
关于各大沙箱反检测机制的测试。如果病毒都发现自己在沙箱里面了,肯定就会努力隐藏自己了,所以反检测是一个重要的课题:
https://bbs.kafan.cn/thread-2181869-1-1.html
特别鸣谢
感谢@翼风Fly 的引用,以及推荐的反虚拟机检测的文章。
感谢@mzltest 对拼写的纠正,以及建议的sndbox
感谢@610100 @y7y007 建议的微步。
这是一个基础建设,大家应该可以收藏起来,自己斟酌哪一款工具适合自己。也希望各位对里面的细节进行纠正与指正! |
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2019-2-18 14:40
|
发表于 2019-5-15 16:57
大佬
