在线沙盒(恶意软件行为分析工具)整理介绍
在进行未知文件分析时,有时我们需要实际运行它,并记录他的一切行为,进而对其进行分析。当然,我们可以用真机或者虚拟机,结合一些行为记录软件来进行测试,但在线沙盒有时会更加方便实用。下面就介绍几个我找到的在线沙盒。
1 火眼(https://fireeye.ijinshan.com)
火眼是国内的一个在线文件分析站点,由金山公司开发。在这里,你可以提交自己的文件进行分析,目前支持30MB以下的APK,EXE,DLL,BAT,HTML,JS,VBS,MSI和特定格式的压缩包。对于新提交的文件,会首先获取文件的MD5,sha-1签名,与已检测的文件数据库中的数据进行对比,如果已经存在,则会提示选择是重新分析还是查看最近一次分析结果。 另外,还可以查看已存在的其它文件的分析报告。 报告中的信息包括文件的基本信息(文件名,大小,类型,时间,MD5,SHA-1),点评,危险行为,其它行为(文件操作,注册表操作,进程操作,网络访问,还有运行截图)。
这貌似是国内唯一的一个对外公开的在线沙盒,最重要的是免费。只要回答注册然后回答几个问题就可以使用。而且还是中文的看着舒服。而且还有关键行为的时间轴报告,看起来比较简单明了。总体来说,就是简单方便,但是专业性可能略显不足。 如果再说一个优点的话,就是不用翻墙
再来介绍几个国外的。
2 VIRUSTOTAL(www.virustotal.com)
VirusTotal是一个免费的病毒,蠕虫,木马和各种恶意软件分析服务。可以针对可疑文件和网址进行快速检测。 最大文件大小为64M。文件上传后会先计算哈希值,与已检测的文件数据库中的数据进行对比,如果已经存在,则会提示选择是重新分析还是查看最近一次分析结果。 分析报告中,包括病毒检出率(51个杀毒引擎查杀)文件详细信息(文件头,字符串,环境变量,运行时库),文件操作,网络操作(HTTP,DNS,TCP,UDP),进程操作,互斥体,HOOK,窗口操作.
不得不承认,VirusTotal做的比国内的火眼专业很多,各种信息记录的更加详尽,不仅记录了各种操作,并且记载了他们的执行是否成功,并且对各种信息进行了更加细致的分类。你几乎可以找到所有你想要找的除了源代码之外的文件信息和行为记录。而且速度在国外网站中算是比较快的了,不过还是需要用VPN。再有就是只能上传自己的文件,或者根据MD5,URL,IP等信息来查询报告,而没有一个索引来查看所有报告。这个其实也算不上缺点,只能说是小小的不足。总归瑕不掩瑜,这个网站绝对称得上专业两个字。
3 ThreatExpert(http://www.threatexpert.com)
ThreatExpert is an advanced automated threat analysis system designed to analyze and report the behavior of computer viruses, worms, trojans, adware, spyware, and other security-related risks in a fully automated mode.In only a few minutes ThreatExpert can process a sample and generate a highly detailed threat report with the level of technical detail that matches or exceeds antivirus industry standards such as those normally found in online virus encyclopedias.
偷个小懒,介绍直接贴网站上面的了。主要是我英文也不是太好,怕翻译错了。和前面几个基本大同小异,也是主要有文件操作,注册表操作和网络操作的记录这些基本功能。另外如果文件中识别出某个病毒的特征字串,也会在报告中显示出来。另外网站上还可以查询所有已知威胁,包括名字,威胁等级,和简单的描述。
4 Anubis(http://anubis.iseclab.org)
Anubis(阿努比斯)也是一个恶意软件分析的服务器,可以提交URL和文件进行分析,分析报告可以选择HTML,XML,PDF,TXT,PDF五种格式,报告中包含了测试文件及其释放文件的文件操作,网络操作,注册表操作等信息。并且对这些操作进行了细分。
5 joe(http://www.joesecurity.org)
这个貌似没有找到提交文件的地方,但是上面有一些已经存在的报告。报告的信息特别全。与之对应的,打开的速度就稍微慢了一些。但是内容真的是特别的多,只有你想不到,没有你找不到。不过看着最新的一个样本是两个月之前的。而且貌似是两个月左右更新一次。作为学习之用应该是非常不错的。
6 其它
还有几个,和上面的都差不太多,但是也各有特色。如malwr(https://malwr.com),毛豆(http://camas.comodo.com)。总之,这些做基本分析的话会比虚拟机之类的方便很多。不过,如果有一些特殊要求,可能还是自己来做。
在线沙盒(恶意软件行为分析工具)整理介绍相关推荐
- Android 性能分析工具整理汇总
Android性能分析工具整理汇总 字数1852 阅读3579 评论10 喜欢54 Android性能分析工具整理汇总 把做Android开发以来碰到的一些不错的性能分析工具做个整理汇总... Deb ...
- CobaltStrike木马artifact.exe规避火绒,360,node32沙盒的方法分析
最近发现一个奇怪的现象,我用CobaltStrike直接生成一个裸奔测试后门artifact.exe 然后使用火绒扫描,火绒居然没有直接查杀 自己上线自己 按理说这种被渗透人员大量使用的后门,不管它原 ...
- Windows系统内存分析工具的介绍
Windows系统内存分析工具的介绍(进程管理器,资源管理器,性能监视器, VMMap, RamMap,PoolMon) 微软官方提供多种工具来分析Windows 的内存使用情况,除了系统自带的任务管 ...
- golang性能分析工具pprof介绍
1 golang性能分析工具pprof介绍 文章目录 1 golang性能分析工具pprof介绍 1.1 pprof简介 1.2 pprof引入方法 1.3 使用pprof进行分析的方法 1.3.1 ...
- Android性能分析工具整理汇总
把做Android开发以来碰到的一些不错的性能分析工具做个整理汇总... Debug GPU Overdraw 类型:系统自带功能UI渲染检测功能(打开Settings,然后到 Developer O ...
- 数据库-优化-慢查日志分析工具-pt-query-digest介绍及作用
MySQL慢查日志分析工具(pt-query-digest) 1.介绍及作用 作为一名优秀的mysql dba也需要有掌握几个好用的mysql管理工具,所以我也一直在整理和查找一些能够便于管理mysq ...
- 猿如意中的【Wireshark】网络包分析工具详情介绍
一.工具名称 Wireshark-win64-3.6.5 二.下载安装渠道 Wireshark-win64-3.6.5 通过CSDN官方开发的[猿如意]客户端进行下载安装. 对,你没有看错,就是来自C ...
- 程序分析工具gprof介绍
程序分析是以某种语言书写的程序为对象,对其内部的运作流程进行分析.程序分析的目的主要有三点:一是通过程序内部各个模块之间的调用关系,整体上把握程序的运行流程,从而更好地理解程序,从中汲取有价值的内容. ...
- 内存分析工具MAT介绍
MAT(Memory Analyzer Tool)是一个基于Eclipse的内存分析工具,是一个快速.功能丰富的java heap分析工具,它可以帮助我们查找内存泄漏和减少内存消耗. 官网地址:htt ...
最新文章
- 把C++类成员方法直接作为线程回调函数
- tensorboard ckpt pb 模型的输出节点_PyTorch 1.1.0发布,官方支持TensorBoard,还有更多性能提升!...
- 电气与计算机学院院长论坛报告,自动化学院分论坛第十、十一次专家报告会圆满成功...
- java21天打卡Day12-IO流
- 用java写一个双色球的彩票程序(源码)
- python+django+vue某小区物业管理系统
- php 公众号推送图片尺寸,微信公众号推送文图片什么尺寸最佳?
- 孩子,外面的世界不会轻易原谅你…
- HearthBuddy 召唤随从的问题
- shoug oracle,oracle 浅谈索引
- Python 碎碎念 -- 不定期记录遇到的各种小问题(藤原豆腐坊自家用)
- 小博无线技术团队使用的编程语言
- 什么是MTTF、MTBF、MTTR?
- GSM的调制方式-GMSK
- 关于原创文章特此说明
- 数字IC设计入门(5)初识集成电路设计
- RFSoC全面解析(八)—— ZCU111 RFSoC评估工具的上位机界面
- 通达OA 体验升级到2013新版本的通达OA
- python画函数求交点_python3数学建模基础(四)多个函数图像求交点
- IDA 64 String中文乱码