在线分析工具
来源 https://www.52pojie.cn/thread-871410-1-1.html
一,前言
我在论坛上走了不少的板块,也发现了这一种病毒分析的好工具,但是不管是52还是卡饭帖子都比较老,有一些也不详细,病毒样本区上挂的链接也有一些已经发生了变化,或者早已失效。所以我趁着这个时候重新认认真真做好总结与评测,做好这个很好用的安全工具的基础建设,为52添砖加瓦。
二,总览表
2.1 区分在线杀毒引擎与在线沙盒
在线杀毒引擎用的大多是国际上出名的杀毒厂商的引擎作为底层,对文件进行扫描,结论通常会反馈“无毒”或者杀毒引擎自己的代码。
在线沙盒用云端的机器跑一次程序,然后收集程序的相关信息。
两者各有与缺点,可以在细节评测里面看到。
2.2 表格展示
(请用电脑版获得更好观感)
分析方式
|
支持类型
|
中文
|
费用
|
网址
|
备注
|
||||
引擎扫描
|
在线沙盒
|
exe
|
apk
|
网页
|
|||||
这些楼主强力推荐
|
|||||||||
微步云沙箱
|
√
多引擎
国内引擎居多
给出评分
|
√
极详细 |
√
|
×
|
√
|
√
|
免费
|
https://s.threatbook.cn/
|
限制20MB
分析详细,惊艳
只会中文的话是最好的选项
|
Virusscan
|
√
多引擎
|
√
转哈勃
|
√
|
√
|
×
|
√
|
免费
|
www.virscan.org
|
限制20M
|
哈勃分析
|
给出评分
|
√
详细
|
√
|
√
|
×
|
√
|
免费
|
普通30M
高级100M |
|
Virustotal
|
√
多引擎
|
√
详细 |
√
|
√
|
√
|
×
不完全
|
免费
|
www.virustotal.com
|
引擎详细报告因基于谷歌转载,无法查看。
|
魔盾
|
√
多引擎
给出评分
|
√
极详细 |
√
|
√
|
√
|
√
|
免费
|
www.maldun.com/analysis/
|
限制10MB
等待时间较长 5min左右 可以选择登录获得高优先、详细设置 |
Hybrid
analysis |
√
多引擎
转载OPSWAT和Virustotal
|
√
极详细
apk无沙箱,仅多引擎扫描
|
√
|
√
|
√
|
×
|
免费
|
www.hybrid-analysis.com
|
限制100MB
确实是非常方便
其中Falcon Sandbox是网站自己的产品
|
JoeSandbox
(自己改名了)
|
给出评级
极为详细 |
√
极详细 |
√
|
√
|
√
|
×
|
基础免费;
高级可试用;
高级收费43000¥每年
|
www.joesandbox.com
|
限制100M
基础版数量限制:10个/月,3个/天
|
楼主建议你留着过年 (工作正常,但相比而言不够上一等级)
|
|||||||||
OPSWAT Metadefender Cloud
|
√
多引擎
|
×
|
√
|
√
|
√
|
×
|
免费
|
限制140M
上传网速有一点慢 |
|
Comodo
Valkyrie
|
√
多引擎
|
√
|
√
|
×
|
√
|
×
|
免费
存在收费版
|
限制150M
特点是,收费版会人工复查 吐槽:开始更新文章我就向这个网页提交了文件,但是现在还没分析完。出结果太慢了,因此不是加粗字体的强力推荐。
|
|
Jotti's
|
√
多引擎
|
×
|
√
|
√
|
×
|
√
|
免费
|
限制250M
网速慢
|
|
楼主并未测试过的沙箱
|
|||||||||
现在的沙箱,功能差不多做到了能力的边界了,出现了一大批效果其实差不多的沙箱(甚至网页的排版都长得差不多了)。因为大同小异,所以楼主就不再测试这些沙箱。至少从表面功夫上看,打了粗体的这些沙箱都至少是和微步云一个水准的(即强力推荐,第一梯队的)。这个粗体加的很随性,没有什么具体的参考价值,只是算是我对美工的第一印象而已hhhh,在面对病毒的时候,多一个选择,更好一下。这些第一梯队内部的差别,大概就是背后的社区的活跃程度不一样罢了。
|
|||||||||
sndbox
|
初看没什么特殊点
|
必须要登录
|
|||||||
微点沙盒
|
初看没什么特殊点
|
https://sandbox.depthsec.com.cn/index.php/
|
无批注
|
||||||
奇安信文件深度分析平台
|
初看没什么特殊点
|
https://sandbox.ti.qianxin.com/sandbox/page
|
无批注
|
||||||
ANYRUN
|
比较有趣的是他的主页,那个全球数据可视化呈现比较亮眼
|
https://app.any.run/
|
无批注
|
||||||
CAPE Sandbox
|
初看没什么特殊点
|
https://capesandbox.com/
|
无批注
|
||||||
Bitdefender Sandbox
|
Bitdefender是国际一流老牌杀毒软件
|
https://capesandbox.com/
|
必须要发邮件请求demo测试
|
||||||
这些公司已经转型
|
|||||||||
CWSandbox
Sunbelt Sandbox |
合并为 Threattrack,沙盒Malware Analysis作为其中一个服务,不再提供网页分析
|
介绍
www.threattrack.com/malware-analysis.aspx
|
|||||||
ThreatExpert
|
更名 Symantec Malware Analysis 被合并在网络安全服务中,不再提供网页分析
|
介绍
www.symantec.com/products/malware-analysis-service
|
|||||||
Comodo
|
更名 Application Containment 被合并在网络安全服务中,不再提供网页分析
(这一项是错的,实际情况是,换了一个名字,见上方Comodo Valkyrie)
|
介绍
www.comodo.com/products.php?track=10945&af=10945
|
|||||||
这些软件几乎无法工作,但是留一个名
|
|||||||||
FortiGuard Online Virus Scanner
|
√
单引擎
|
×
|
√
|
×
|
×
|
×
|
免费
|
限制1M
(你当真没有开玩笑?)
网速极慢
|
|
Scan This!
|
网速慢到没法验证内容
|
免费
|
比较有特点的是,其工作方法是下载网页所指的文件并验证
网速慢到没法验证
|
||||||
NoDistribute
|
提交文件后无反应
|
免费
有收费项目
|
限制8M
|
||||||
Online Linkscan!
|
提交网址后无反应
|
免费
|
网页不返回数据,并且其网页实时验证量状态都为零
|
||||||
这些网站已经不工作了
|
|||||||||
Norman Sandbox
|
被AVG收购
不再提供沙盒服务 |
官网
http://www.norman.com/homepage
|
|||||||
金山火眼
|
官方放弃治疗
|
前网址
fireeye.ijinshan.com
|
|||||||
Anubis
|
凉了
上一级网页宣称了其存在,然而没反应
同网站有一个软件lastline,包含了沙盒功能
|
介绍
www.symantec.com/products/malware-analysis-service
|
三、部分软件的细节评测
1,Virusscan
作为一种多引擎扫描的工具,这个对于大多数人来说很友好。然而体积有限而且行为分析是转载哈勃,不是特别详细,同时加上网页风格有一些旧,显得不怎么“高大上”。当然大家上传文件最好就来这里,大家都看得懂。
2,Virustotal
非常详细全面的多引擎工具,而且还支持网页分析。好像不管多大,你只要上传他就会分析,只不过有一些引擎不工作而已。
美中不足的是
1,中文(右下角选语言)不是特别完全,只有标题和部分文字汉化了。
2,其中的工具和报告新手难以驾驭,中间有一个关系图绘制器,我反正一直没有用会。
3,详细报告要梯子
3,OPSWAT Metadefender Cloud
网页很漂亮,支持体积也比国内很多网站大,但是信息量一般,没有什么技术上的亮点。
4,JoeSecurity
下方BASIC可以直接试用
作为在线沙盒,他的报告把我惊艳到了——怎么会有如此详细的报告!而且分析详细。但是太贵了,而且试用注册也要公司邮箱,我也不知道怎么回事,邮箱不对,就会说Captcha Invalid(验证无效)。我也就没有自己上传文件,但是还是很令人震撼
5,魔盾分析
免费!良心!高技术在线沙盒!还可以多引擎!
登陆之后还可以设置到底是什么系统,什么时长,做什么分析。
如果不是因为体积限制和速度,这个分析会成为第一。当然很多人是不需要这个的,只要查查毒就可以了,这里给出了几乎所有分析。
6,Jotti
好东西,而且支持体极大,但是上传网速只有100K左右,有些慢,而且支持的引擎也不多,只有一行代码反馈。
7,哈勃分析
腾讯系的一个好产品,虽然特点不多,而且也不够详细,但是对于普通的分析绰绰有余,也成为了分析的时候上传的一个好去处。
缺点是停止了高级账户的申请,普通用户的内容又是一些比较基本的信息。
6,微步云沙箱
<ignore_js_op>
<ignore_js_op>
<ignore_js_op>
微步云沙箱算是中文选手最好的去处了,分析也不算慢,结论也很丰富。
7,Hybrid-Analysis
<ignore_js_op>
<ignore_js_op>
<ignore_js_op>
推荐外文选手的去处。其实现在看来沙箱的水平都差不多,微步云沙箱主要差在在线分析工具不够国际化(当然反过来说,微步云沙箱应该更加接地气一些,因为本地化的引擎对于本地病毒了解更多)
可以注意到的是,上传之后的这个文件,因为系统不是中文的缘故,出现了乱码。
============== End