2020-01更新说明
首先感谢论坛大佬@翼风Fly 的引用,我今天也是突然看到之前的内容,重新思考了一下,考察了一些之前发现有误差的内容,并且决定添加如下修正。
本次修改正文会使用蓝色字体表述
注意,对于其他沙箱/在线分析可能已经失效,或者并未失效但误判为失效,楼主尚未一一查明,仅作自己发现的内容的小部分更改,并不保证完整性和时效性了。(生活不易,楼主叹气)
更改1:Comodo的Camas沙箱并未凉掉,更名为Valkyrie继续提供服务。当时可能是因为证书安全问题(camas域名不在证书中,所以也就没有访问并且跳转到Valkyrie的页面上),被浏览器莫名拦截下来,导致我认为它凉掉了。
更改2:添加神器“微步云沙箱”,好到不要不要的。
更改3:添加hybrid-analysis,看上去和微步云沙箱简直一个模子套出来的。
2019-02正文
一,前言
我在论坛上走了不少的板块,也发现了这一种病毒分析的好工具,但是不管是52还是卡饭帖子都比较老,有一些也不详细,病毒样本区上挂的链接也有一些已经发生了变化,或者早已失效。所以我趁着这个时候重新认认真真做好总结与评测,做好这个很好用的安全工具的基础建设,为52添砖加瓦。
二,总览表
2.1 区分在线杀毒引擎与在线沙盒
在线杀毒引擎用的大多是国际上出名的杀毒厂商的引擎作为底层,对文件进行扫描,结论通常会反馈“无毒”或者杀毒引擎自己的代码。
在线沙盒用云端的机器跑一次程序,然后收集程序的相关信息。
两者各有与缺点,可以在细节评测里面看到。
2.2 表格展示
(请用电脑版获得更好观感)
分析方式 | 支持类型 | 中文 | 费用 | 网址 | 备注 | ||||
引擎扫描 | 在线沙盒 | exe | apk | 网页 | |||||
这些楼主强力推荐 | |||||||||
微步云沙箱 |
√
多引擎
国内引擎居多 给出评分 |
√ 极详细 |
√ | × | √ | √ | 免费 | https://s.threatbook.cn/ |
限制20MB
分析详细,惊艳
只会中文的话是最好的选项 |
Virusscan | √ 多引擎 | √ 转哈勃 | √ | √ |
× |
√ | 免费 | www.virscan.org | 限制20M |
哈勃分析 | 给出评分 | √ 详细 | √ | √ | × | √ | 免费 | habo.qq.com |
普通30M 高级100M |
Virustotal | √ 多引擎 |
√ 详细 |
√ | √ | √ | × 不完全 | 免费 | www.virustotal.com | 引擎详细报告因基于谷歌转载,无法查看。 |
魔盾 | √ 多引擎 给出评分 |
√ 极详细 |
√ | √ | √ | √ | 免费 | www.maldun.com/analysis/ |
限制10MB 等待时间较长 5min左右 可以选择登录获得高优先、详细设置 |
Hybrid analysis |
√ 多引擎 转载OPSWAT和Virustitol |
√
极详细 apk无沙箱 |
√ |
√ |
√ | × | 免费 | www.hybrid-analysis.com |
限制100MB
确实是非常方便
其中Falcon Sandbox是网站自己的产品 如果会英文的话应该这个是全局最好的选项了 |
OPSWAT Metadefender Cloud | √ 多引擎 | × | √ | √ | √ | × | 免费 | metadefender.opswat.com/ |
限制140M 上传网速有一点慢 |
Comodo Valkyrie |
√ 多引擎 | √ | √ | × | √ | × |
免费
存在收费版 |
valkyrie.comodo.com/ |
限制150M 特点是,收费版会人工复查 吐槽:开始更新文章我就向这个网页提交了文件,但是现在还没分析完。出结果太慢了,因此不是加粗字体的强力推荐。 |
楼主建议你留着过年 (工作正常,但相比而言不够上一等级) | |||||||||
JoeSecurity |
给出评级 极为详细 |
√ 极详细 |
√ | √ | √ | × |
基础免费;
高级可试用;
高级收费43000¥每年 |
www.joesecurity.org/joe-security- products#cloud |
限制100M 基础版数量限制:10个/月,3个/天 注册要公司邮箱 |
Jotti's | √ 多引擎 | × | √ | √ | × |
√ |
免费 | virusscan.jotti.org | 限制250M 网速慢 |
这些公司已经转型 | |||||||||
CWSandbox Sunbelt Sandbox |
合并为 Threattrack,沙盒Malware Analysis作为其中一个服务,不再提供网页分析 | 介绍 www.threattrack.com/malware-analysis.aspx | |||||||
ThreatExpert | 更名 Symantec Malware Analysis 被合并在网络安全服务中,不再提供网页分析 | 介绍 www.symantec.com/products/malware-analysis-service | |||||||
Comodo |
更名 Application Containment 被合并在网络安全服务中,不再提供网页分析
(只是换了一个名字,见上方Comodo Valkyrie) |
介绍 www.comodo.com/products.php?track=10945&af=10945 | |||||||
这些软件几乎无法工作,但是留一个名 | |||||||||
FortiGuard Online Virus Scanner | √ 单引擎 | × | √ | × | × | × | 免费 | fortiguard.com/faq/onlinescanner | 限制1M (你当真没有开玩笑?) 网速极慢 |
Scan This! | 网速慢到没法验证内容 | 免费 | scanthis.net | 比较有特点的是,其工作方法是下载网页所指的文件并验证 网速慢到没法验证 | |||||
NoDistribute | 提交文件后无反应 | 免费 有收费项目 | nodistribute.com | 限制8M | |||||
Online Linkscan! | 提交网址后无反应 | 免费 | onlinelinkscan.com | 网页不返回数据,并且其网页实时验证量状态都为零 | |||||
这些网站已经不工作了 | |||||||||
Norman Sandbox |
被AVG收购 不再提供沙盒服务 |
官网 http://www.norman.com/homepage | |||||||
金山火眼 | 官方放弃治疗 | 前网址 fireeye.ijinshan.com | |||||||
Anubis | 凉了 上一级网页宣称了其存在,然而没反应 同网站有一个软件lastline,包含了沙盒功能 | 介绍 www.symantec.com/products/malware-analysis-service |
三、部分软件的细节评测
1,Virusscan
作为一种多引擎扫描的工具,这个对于大多数人来说很友好。然而体积有限而且行为分析是转载哈勃,不是特别详细,同时加上网页风格有一些旧,显得不怎么“高大上”。当然大家上传文件最好就来这里,大家都看得懂。
2,Virustotal
非常详细全面的多引擎工具,而且还支持网页分析。好像不管多大,你只要上传他就会分析,只不过有一些引擎不工作而已。
美中不足的是
1,中文(右下角选语言)不是特别完全,只有标题和部分文字汉化了。
2,其中的工具和报告新手难以驾驭,中间有一个关系图绘制器,我反正一直没有用会。
3,详细报告要*
3,OPSWAT Metadefender Cloud
网页很漂亮,支持体积也比国内很多网站大,但是信息量一般,没有什么技术上的亮点。
4,JoeSecurity
下方BASIC可以直接试用
作为在线沙盒,他的报告把我惊艳到了——怎么会有如此详细的报告!而且分析详细。但是太贵了,而且试用注册也要公司邮箱,我也不知道怎么回事,邮箱不对,就会说Captcha Invalid(验证无效)。我也就没有自己上传文件,但是还是很令人震撼
5,魔盾分析
免费!良心!高技术在线沙盒!还可以多引擎!
登陆之后还可以设置到底是什么系统,什么时长,做什么分析。
如果不是因为体积限制和速度,这个分析会成为第一。当然很多人是不需要这个的,只要查查毒就可以了,这里给出了几乎所有分析。
6,Jotti
好东西,而且支持体极大,但是上传网速只有100K左右,有些慢,而且支持的引擎也不多,只有一行代码反馈。
7,哈勃分析
腾讯系的一个好产品,虽然特点不多,而且也不够详细,但是对于普通的分析绰绰有余,也成为了分析的时候上传的一个好去处。
缺点是停止了高级账户的申请,普通用户的内容又是一些比较基本的信息。
6,微步云沙箱
微步云沙箱算是中文选手最好的去处了,分析也不算慢,结论也很丰富。
7,Hybrid-Analysis
推荐外文选手的去处。其实现在看来沙箱的水平都差不多,微步云沙箱主要差在在线分析工具不够国际化(当然反过来说,微步云沙箱应该更加接地气一些,因为本地化的引擎对于本地病毒了解更多)
可以注意到的是,上传之后的这个文件,因为系统不是中文的缘故,出现了乱码。
/////////正文结束///////////
这是一个基础建设,大家应该可以收藏起来,自己斟酌哪一款工具适合自己。也希望各位对里面的细节进行纠正与指正!