在线分析工具的重新评测(2019年2月/2020年1月)
一,前言
我在论坛上走了不少的板块,也发现了这一种病毒分析的好工具,但是不管是52还是卡饭帖子都比较老,有一些也不详细,病毒样本区上挂的链接也有一些已经发生了变化,或者早已失效。所以我趁着这个时候重新认认真真做好总结与评测,做好这个很好用的安全工具的基础建设,为52添砖加瓦。
二,总览表
2.1 区分在线杀毒引擎与在线沙盒
在线杀毒引擎用的大多是国际上出名的杀毒厂商的引擎作为底层,对文件进行扫描,结论通常会反馈“无毒”或者杀毒引擎自己的代码。
在线沙盒用云端的机器跑一次程序,然后收集程序的相关信息。
2.2 表格展示
(请用电脑版获得更好观感)
|
| 分析方式 | 支持类型 | 中文 | 费用 | 网址 | 备注 | ||||
|---|---|---|---|---|---|---|---|---|---|
| 引擎扫描 | 在线沙盒 | exe | apk | 网页 | |||||
| 这些楼主强力推荐 | |||||||||
| 微步云沙箱 | √ 多引擎 给出评分 |
√ 极详细 |
√ | × | √ | √ | 免费 | https://s.threatbook.cn/ | 限制20MB 分析详细,惊艳 只会中文的话是最好的选项 |
|
| Virusscan | √
多引擎 | √
转哈勃 | √ | √ | ×
| √ | 免费 | www.virscan.org | 限制20M |
| 哈勃分析 | 给出评分 | √
详细 | √ | √ | × | √ | 免费 | habo.qq.com | 普通30M
高级100M |
| Virustotal | √
多引擎 | √
详细 | √ | √ | √ | ×
不完全 | 免费 | www.virustotal.com | 引擎详细报告因基于谷歌转载,无法查看。 |
| 魔盾 | √
多引擎
给出评分 | √
极详细 | √ | √ | √ | √ | 免费 | www.maldun.com/analysis/ | 限制10MB
等待时间较长 5min左右
可以选择登录获得高优先、详细设置 |
| Hybrid
analysis | √
多引擎 | √
极详细
apk无沙箱,仅多引擎扫描
| √ | √
| √ | × | 免费 | www.hybrid-analysis.com | 限制100MB
确实是非常方便
其中Falcon Sandbox是网站自己的产品
|
| JoeSandbox
(自己改名了)
| 给出评级
极为详细 | √
极详细 | √ | √ | √ | × | 基础免费;
高级可试用;
高级收费43000¥每年
| www.joesandbox.com | 限制100M
基础版数量限制:10个/月,3个/天 |
| 楼主建议你留着过年 (工作正常,但相比而言不够上一等级) | | | | | | | | | |
| OPSWAT Metadefender Cloud | √
多引擎 | × | √ | √ | √ | × | 免费 | metadefender.opswat.com/ | 限制140M
上传网速有一点慢 |
| Comodo
Valkyrie | √
多引擎 | √ | √ | × | √ | × | 免费
存在收费版
| valkyrie.comodo.com/ | 限制150M
特点是,收费版会人工复查
吐槽:开始更新文章我就向这个网页提交了文件,但是现在还没分析完。出结果太慢了,因此不是加粗字体的强力推荐。
|
| Jotti’s | √
多引擎 | × | √ | √ | × | √
| 免费 | virusscan.jotti.org | 限制250M
网速慢 |
| 楼主并未测试过的沙箱 | | | | | | | | | |
| 现在的沙箱,功能差不多做到了能力的边界了,出现了一大批效果其实差不多的沙箱(甚至网页的排版都长得差不多了)。因为大同小异,所以楼主就不再测试这些沙箱。至少从表面功夫上看,打了粗体的这些沙箱都至少是和微步云一个水准的(即强力推荐,第一梯队的)。这个粗体加的很随性,没有什么具体的参考价值,只是算是我对美工的第一印象而已hhhh,在面对病毒的时候,多一个选择,更好一下。这些第一梯队内部的差别,大概就是背后的社区的活跃程度不一样罢了。 | | | | | | | | | |
| sndbox | 初看没什么特殊点
| | | | | | | app.sndbox.com | 必须要登录 | | 微点沙盒 | 初看没什么特殊点 | | | | | | | https://sandbox.depthsec.com.cn/index.php/ | 无批注
| | 奇安信文件深度分析平台 | 初看没什么特殊点 | | | | | | | https://sandbox.ti.qianxin.com/sandbox/page | 无批注 | | ANYRUN | 比较有趣的是他的主页,那个全球数据可视化呈现比较亮眼
| | | | | | | https://app.any.run/ | 无批注 |
| CAPE Sandbox | 初看没什么特殊点 | | | | | | | https://capesandbox.com/ | 无批注 |
| Bitdefender Sandbox | Bitdefender是国际一流老牌杀毒软件 | | | | | | | https://capesandbox.com/ | 必须要发邮件请求demo测试 |
| 这些公司已经转型 | | | | | | | | | |
| CWSandbox
Sunbelt Sandbox | 合并为 Threattrack,沙盒Malware Analysis作为其中一个服务,不再提供网页分析 | | | | | | | | 介绍
www.threattrack.com/malware-analysis.aspx |
| ThreatExpert | 更名 Symantec Malware Analysis 被合并在网络安全服务中,不再提供网页分析 | | | | | | | | 介绍
www.symantec.com/products/malware-analysis-service |
| Comodo | 更名 Application Containment 被合并在网络安全服务中,不再提供网页分析
(这一项是错的,实际情况是,换了一个名字,见上方Comodo Valkyrie)
| | | | | | | | 介绍
www.comodo.com/products.php?track=10945&af=10945 |
| 这些软件几乎无法工作,但是留一个名 | | | | | | | | | |
| FortiGuard Online Virus Scanner | √
单引擎 | × | √ | × | × | × | 免费 | fortiguard.com/faq/onlinescanner | 限制1M
(你当真没有开玩笑?)
网速极慢 |
| Scan This! | 网速慢到没法验证内容 | | | | | | 免费 | scanthis.net | 比较有特点的是,其工作方法是下载网页所指的文件并验证
网速慢到没法验证 |
| NoDistribute | 提交文件后无反应 | | | | | | 免费
有收费项目 | nodistribute.com | 限制8M |
| Online Linkscan! | 提交网址后无反应 | | | | | | 免费 | onlinelinkscan.com | 网页不返回数据,并且其网页实时验证量状态都为零 |
| 这些网站已经不工作了 | | | | | | | | | |
| Norman Sandbox | 被AVG收购
不再提供沙盒服务 | | | | | | | | 官网
http://www.norman.com/homepage |
| 金山火眼 | 官方放弃治疗 | | | | | | | | 前网址
fireeye.ijinshan.com |
| Anubis | 凉了
上一级网页宣称了其存在,然而没反应
同网站有一个软件lastline,包含了沙盒功能 | | | | | | | | 介绍
www.symantec.com/products/malware-analysis-service |
国内引擎居多
三、部分软件的细节评测
3.1 Virusscan
作为一种多引擎扫描的工具,这个对于大多数人来说很友好。然而体积有限而且行为分析是转载哈勃,不是特别详细,同时加上网页风格有一些旧,显得不怎么“高大上”。当然大家上传文件最好就来这里,大家都看得懂。
3.2 Virustotal
非常详细全面的多引擎工具,而且还支持网页分析。好像不管多大,你只要上传他就会分析,只不过有一些引擎不工作而已。
美中不足的是
- 中文(右下角选语言)不是特别完全,只有标题和部分文字汉化了
- 其中的工具和报告新手难以驾驭,中间有一个关系图绘制器,我反正一直没有用会。
3.3 OPSWAT Metadefender Cloud
网页很漂亮,支持体积也比国内很多网站大,但是信息量一般,没有什么技术上的亮点。
3.4 JoeSecurity
下方BASIC可以直接试用
作为在线沙盒,他的报告把我惊艳到了——怎么会有如此详细的报告!而且分析详细。但是太贵了,而且试用注册也要公司邮箱,我也不知道怎么回事,邮箱不对,就会说Captcha Invalid(验证无效)。我也就没有自己上传文件,但是还是很令人震撼
3.5 魔盾分析
免费!良心!高技术在线沙盒!还可以多引擎!
登陆之后还可以设置到底是什么系统,什么时长,做什么分析。
如果不是因为体积限制和速度,这个分析会成为第一。当然很多人是不需要这个的,只要查查毒就可以了,这里给出了几乎所有分析
3.6 Jotti
好东西,而且支持体极大,但是上传网速只有100K左右,有些慢,而且支持的引擎也不多,只有一行代码反馈。
3.7 哈勃分析
腾讯系的一个好产品,虽然特点不多,而且也不够详细,但是对于普通的分析绰绰有余,也成为了分析的时候上传的一个好去处。
缺点是停止了高级账户的申请,普通用户的内容又是一些比较基本的信息
3.6 微步云沙箱
![[52破解]在线分析工具评测(2019年2月/2020年1月) - 图18](/uploads/projects/jianouzuihuai@cyber-security/20600a8dfd80e551884316df527e0648.png)
![[52破解]在线分析工具评测(2019年2月/2020年1月) - 图19](/uploads/projects/jianouzuihuai@cyber-security/8eb8d1f537531c964ca3f53938afd742.png)
![[52破解]在线分析工具评测(2019年2月/2020年1月) - 图20](/uploads/projects/jianouzuihuai@cyber-security/47aebdec61b4316a1f7e639b8d073c9f.png)
![[52破解]在线分析工具评测(2019年2月/2020年1月) - 图21](/uploads/projects/jianouzuihuai@cyber-security/5aeb1b359804b124581453f44590bceb.png)
微步云沙箱算是中文选手最好的去处了,分析也不算慢,结论也很丰富
3.7 Hybrid-Analysis
![[52破解]在线分析工具评测(2019年2月/2020年1月) - 图22](/uploads/projects/jianouzuihuai@cyber-security/c9163b0c16df7a0d66555a95f078599e.png)
![[52破解]在线分析工具评测(2019年2月/2020年1月) - 图23](/uploads/projects/jianouzuihuai@cyber-security/25db71566cff9cc851472ffd0ff92c78.png)
![[52破解]在线分析工具评测(2019年2月/2020年1月) - 图24](/uploads/projects/jianouzuihuai@cyber-security/ad6f5e2a2127dda283e8dfd86a535474.png)
推荐外文选手的去处。其实现在看来沙箱的水平都差不多,微步云沙箱主要差在在线分析工具不够国际化(当然反过来说,微步云沙箱应该更加接地气一些,因为本地化的引擎对于本地病毒了解更多)
拓展文章
翼风Fly在卡饭的帖子,内容更加广泛一些
关于各大沙箱反检测机制的测试。如果病毒都发现自己在沙箱里面了,肯定就会努力隐藏自己了,所以反检测是一个重要的课题
特别鸣谢
感谢@翼风Fly 的引用,以及推荐的反虚拟机检测的文章。
感谢@mzltest 对拼写的纠正,以及建议的sndbox
感谢@610100 @y7y007 建议的微步
这是一个基础建设,大家应该可以收藏起来,自己斟酌哪一款工具适合自己。也希望各位对里面的细节进行纠正与指正!
若有收获,就点个赞吧
0 人点赞
