在线分析工具

来源 https://www.52pojie.cn/thread-871410-1-1.html

一，前言

我在论坛上走了不少的板块，也发现了这一种病毒分析的好工具，但是不管是52还是卡饭帖子都比较老，有一些也不详细，病毒样本区上挂的链接也有一些已经发生了变化，或者早已失效。所以我趁着这个时候重新认认真真做好总结与评测，做好这个很好用的安全工具的基础建设，为52添砖加瓦。

二，总览表
2.1 区分在线杀毒引擎与在线沙盒
在线杀毒引擎用的大多是国际上出名的杀毒厂商的引擎作为底层，对文件进行扫描，结论通常会反馈“无毒”或者杀毒引擎自己的代码。

在线沙盒用云端的机器跑一次程序，然后收集程序的相关信息。

两者各有与缺点，可以在细节评测里面看到。

2.2 表格展示
（请用电脑版获得更好观感）

	分析方式		支持类型			中文	费用	网址	备注
	引擎扫描	在线沙盒	exe	apk	网页	中文	费用	网址	备注
这些楼主强力推荐
微步云沙箱	√ 多引擎国内引擎居多给出评分	√ 极详细	√	×	√	√	免费	https://s.threatbook.cn/	限制20MB 分析详细，惊艳只会中文的话是最好的选项
Virusscan	√ 多引擎	√ 转哈勃	√	√	×	√	免费	www.virscan.org	限制20M
哈勃分析	给出评分	√ 详细	√	√	×	√	免费	habo.qq.com	普通30M 高级100M
Virustotal	√ 多引擎	√ 详细	√	√	√	× 不完全	免费	www.virustotal.com	引擎详细报告因基于谷歌转载，无法查看。
魔盾	√ 多引擎给出评分	√ 极详细	√	√	√	√	免费	www.maldun.com/analysis/	限制10MB 等待时间较长 5min左右可以选择登录获得高优先、详细设置
Hybrid analysis	√ 多引擎转载OPSWAT和Virustotal	√ 极详细 apk无沙箱，仅多引擎扫描	√	√	√	×	免费	www.hybrid-analysis.com	限制100MB 确实是非常方便其中Falcon Sandbox是网站自己的产品
JoeSandbox (自己改名了)	给出评级极为详细	√ 极详细	√	√	√	×	基础免费；高级可试用；高级收费43000￥每年	www.joesandbox.com	限制100M 基础版数量限制：10个/月,3个/天
楼主建议你留着过年 (工作正常，但相比而言不够上一等级)
OPSWAT Metadefender Cloud	√ 多引擎	×	√	√	√	×	免费	metadefender.opswat.com/	限制140M 上传网速有一点慢
Comodo Valkyrie	√ 多引擎	√	√	×	√	×	免费存在收费版	valkyrie.comodo.com/	限制150M 特点是，收费版会人工复查吐槽：开始更新文章我就向这个网页提交了文件，但是现在还没分析完。出结果太慢了，因此不是加粗字体的强力推荐。
Jotti's	√ 多引擎	×	√	√	×	√	免费	virusscan.jotti.org	限制250M 网速慢
楼主并未测试过的沙箱
现在的沙箱，功能差不多做到了能力的边界了，出现了一大批效果其实差不多的沙箱(甚至网页的排版都长得差不多了)。因为大同小异，所以楼主就不再测试这些沙箱。至少从表面功夫上看，打了粗体的这些沙箱都至少是和微步云一个水准的（即强力推荐，第一梯队的）。这个粗体加的很随性，没有什么具体的参考价值，只是算是我对美工的第一印象而已hhhh，在面对病毒的时候，多一个选择，更好一下。这些第一梯队内部的差别，大概就是背后的社区的活跃程度不一样罢了。
sndbox	初看没什么特殊点							app.sndbox.com	必须要登录
微点沙盒	初看没什么特殊点							https://sandbox.depthsec.com.cn/index.php/	无批注
奇安信文件深度分析平台	初看没什么特殊点							https://sandbox.ti.qianxin.com/sandbox/page	无批注
ANYRUN	比较有趣的是他的主页，那个全球数据可视化呈现比较亮眼							https://app.any.run/	无批注
CAPE Sandbox	初看没什么特殊点							https://capesandbox.com/	无批注
Bitdefender Sandbox	Bitdefender是国际一流老牌杀毒软件							https://capesandbox.com/	必须要发邮件请求demo测试
这些公司已经转型
CWSandbox Sunbelt Sandbox	合并为 Threattrack，沙盒Malware Analysis作为其中一个服务，不再提供网页分析								介绍 www.threattrack.com/malware-analysis.aspx
ThreatExpert	更名 Symantec Malware Analysis 被合并在网络安全服务中，不再提供网页分析								介绍 www.symantec.com/products/malware-analysis-service
Comodo	更名 Application Containment 被合并在网络安全服务中，不再提供网页分析（这一项是错的，实际情况是，换了一个名字，见上方Comodo Valkyrie）								介绍 www.comodo.com/products.php?track=10945&af=10945
这些软件几乎无法工作，但是留一个名
FortiGuard Online Virus Scanner	√ 单引擎	×	√	×	×	×	免费	fortiguard.com/faq/onlinescanner	限制1M (你当真没有开玩笑？) 网速极慢
Scan This!	网速慢到没法验证内容						免费	scanthis.net	比较有特点的是，其工作方法是下载网页所指的文件并验证网速慢到没法验证
NoDistribute	提交文件后无反应						免费有收费项目	nodistribute.com	限制8M
Online Linkscan!	提交网址后无反应						免费	onlinelinkscan.com	网页不返回数据，并且其网页实时验证量状态都为零
这些网站已经不工作了
Norman Sandbox	被AVG收购不再提供沙盒服务								官网 http://www.norman.com/homepage
金山火眼	官方放弃治疗								前网址 fireeye.ijinshan.com
Anubis	凉了上一级网页宣称了其存在，然而没反应同网站有一个软件lastline，包含了沙盒功能								介绍 www.symantec.com/products/malware-analysis-service

三、部分软件的细节评测
1，Virusscan

作为一种多引擎扫描的工具，这个对于大多数人来说很友好。然而体积有限而且行为分析是转载哈勃，不是特别详细，同时加上网页风格有一些旧，显得不怎么“高大上”。当然大家上传文件最好就来这里，大家都看得懂。

2，Virustotal

非常详细全面的多引擎工具，而且还支持网页分析。好像不管多大，你只要上传他就会分析，只不过有一些引擎不工作而已。
美中不足的是
1，中文（右下角选语言）不是特别完全，只有标题和部分文字汉化了。
2，其中的工具和报告新手难以驾驭，中间有一个关系图绘制器，我反正一直没有用会。
3，详细报告要梯子

3，OPSWAT Metadefender Cloud

网页很漂亮，支持体积也比国内很多网站大，但是信息量一般，没有什么技术上的亮点。

4，JoeSecurity

下方BASIC可以直接试用

作为在线沙盒，他的报告把我惊艳到了——怎么会有如此详细的报告！而且分析详细。但是太贵了，而且试用注册也要公司邮箱，我也不知道怎么回事，邮箱不对，就会说Captcha Invalid(验证无效)。我也就没有自己上传文件，但是还是很令人震撼

5，魔盾分析

免费！良心！高技术在线沙盒！还可以多引擎！
登陆之后还可以设置到底是什么系统，什么时长，做什么分析。
如果不是因为体积限制和速度，这个分析会成为第一。当然很多人是不需要这个的，只要查查毒就可以了，这里给出了几乎所有分析。

6，Jotti

好东西，而且支持体极大，但是上传网速只有100K左右，有些慢，而且支持的引擎也不多，只有一行代码反馈。

7，哈勃分析

腾讯系的一个好产品，虽然特点不多，而且也不够详细，但是对于普通的分析绰绰有余，也成为了分析的时候上传的一个好去处。
缺点是停止了高级账户的申请，普通用户的内容又是一些比较基本的信息。

6，微步云沙箱

<ignore_js_op>
<ignore_js_op>
<ignore_js_op>
微步云沙箱算是中文选手最好的去处了，分析也不算慢，结论也很丰富。

7，Hybrid-Analysis
<ignore_js_op>

<ignore_js_op>

<ignore_js_op>
推荐外文选手的去处。其实现在看来沙箱的水平都差不多，微步云沙箱主要差在在线分析工具不够国际化(当然反过来说，微步云沙箱应该更加接地气一些，因为本地化的引擎对于本地病毒了解更多)
可以注意到的是，上传之后的这个文件，因为系统不是中文的缘故，出现了乱码。