5款免费在线软件行为分析(在线沙盘)

本文介绍了五个在线恶意软件分析平台:Anubis、ThreatExpert、Comodo Instant Malware Analysis (CIMA)、Norman Sandbox 和 GFI Sandbox。这些平台能够帮助用户分析可疑文件,检测潜在的安全威胁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.Anubis是一个提供可控环境来执行用户提交的二进制文件的动态恶意软件分析平台。该系统通过监视关键的Windows API和系统服务调用、跟踪网络数据流、记录网络通讯,实现对二进制文件的分析,并生成综合分析报告。由于它通过公开的网络接口和很多安全组织、反病毒公司获得恶意程序样本,用户群广泛,所以收集到的样品体现了互联网上广泛而多样的恶意程序。
相对于Norman的在线沙盒,来自奥地利的Anubis沙盒界面更加的友好,同时提供的分析资料更加详细。另外分析处理的速度也很快。基本上在2分钟之内就可以搞定。同时如果不方便在线看网页,Anubis也可以把分析报告发送到您的邮箱去,择日再看也是可以的。
服务地址:  http://anubis.iseclab.org/index.php

2.Threat Expert是一套高级的自动在线分析系统,用于分析和报告有关电脑病毒,蠕虫,木马,广告软件,间谍软件和其它与电脑安全有关的风险程序,本系统是完全自动的,无需人工干预。
只要将可疑的档案上传到ThreatExpert网站中,它会透过内建的ATAS机制进行档案型为分析与病毒检测,完成后会再提供一个详尽的检测报告。报告内容会包含病毒名称与叙述、风险分类、档案变更细节、记忆体执行细节、登录档修改细节、对外网路连线状态、SMTP流量细节…与其他可疑的行为报告。报告可通过邮箱发送。
服务地址:  http://www.threatexpert.com/submit.aspx

3.Comodo Instant Malware Analysis(CIMA)是Comodo推出的云端服务:在线沙盘。可以上传可疑文件(必须是可执行文件),CIMA会实时运行和分析,生成一份详尽的报告,这份报告会记录是否有可疑行为。
CIMA的好处是分析结果马上就可以看到,不像某些在线沙盘,只能用email,需要等待。CIMA 不能处理交互式的程序,就是类似需要点“下一步” 这样的程序。CIMA除了是一个在线病毒分析系统外,同时也是一个病毒收集系统。任何上传的报可疑的文件,将会送到Comodo病毒研究实验室,进行人工分析。
服务地址:  http://camas.comodo.com/

4.Norman Sandbox是Norman公司推出的免费在线病毒分析服务, 所谓Sandbox,顾名思义就是创建一个虚拟的环境,让文件在其中执行,通过分析文件的动作来判断该文件是否为恶意程序。 Norman Sandbox除了进行行为检测外,还会对文件进行特征码扫描,因此它是进行病毒(特别是未知)病毒分析、处理的有力工具。
其人工智能虚拟机分析结果包括:
(1)文件是否对硬盘读写,创建了什么文件。
(2)可疑文件是否进行网络连接,连接什么端口
(3)创建了那些系统进程。
(4)相关的可疑文件大小和md5
(5)文件是否加壳压缩
(6)是否是已知病毒
服务地址:  http://www.norman.com/security_center/security_tools/

5.GFI Sandbox的前身是CWSandbox,是一个业界领先的动态恶意软件分析工具。其使用方便,只需要填写email后上传文件即可,文件限制在12288kb内。可分析几乎所有的Windows应用程序或文件,包括感染的Office文档,PDF文件,恶意网址,Flash广告和定制的应用程序。
服务地址:  http://www.sunbeltsecurity.com/sandbox/
来源:Safecn
在安全网上逛的时候,突然发现一篇很好的文章!详细阐述了当前流行的api hook技术,rootkit技术和主动防御技术,涉及到深入的操作系统知识,需要一定的功底才能看懂,真的很不错,可以说是一篇难得的教程!现摘选如下: 一. 黑匣子的原理 对于一般用户而言,一个程序从开始运行直到结束,这期间内都做过什么,并不是我们需要关心的事情,他们只要听到播放器里的音乐、看到电影画面、和远方的朋友用通讯工具聊天就可以了,有谁会去关心从用户点击播放器程序图标到音乐响起的时间里,这个程序具体做了什么事情呢?然而,如果面对的程序是恶意软件之流,用户就不得不关心一下它到底对自己的计算机造成什么影响了。 程序在运行期间所进行的操作被称为“程序行为”(Action),一般泛指程序进行的相对表现较明显的操作,例如创建读写文件、访问注册表、连接网络等,而在这些操作之外做的程序内部运算、判断、逻辑等操作并不是我们需要关心的,除非是对它进行复杂的分析如逆向工程。对程序行为进行监视记录的过程就是“跟踪”(Tracing),如果要进一步深入,则要使用调试器(Debugger)环境进行汇编级的指令分析,这就是“调试”(Debugging),也可视为更全面的跟踪,因为调试过程可观察到整个程序里的运算和每一步过程。 也许很多用户会觉得,这些复杂技术距离我们很远,甚至会想像为需要复杂设备和程序才能完成,其实,这些技术的应用范围,一直就在我们身边。如果你正在使用一防毒产品,那么你系统里执行的程序就已经处于被记录行为的状态了;如果你使用HIPS产品,就会更强烈的感受到程序运行被监视着;如果你正在使用调试器,那就不用我说了吧…… 在Windows系统里,至少有三种技术可以实现程序行为的记录,甚至控制程序的某些行为,分别是“虚拟机”(VM)、“API钩子”(API Hooking)和“API跟踪”(API Tracing)。 应用广泛的虚拟机技术 经常提到的虚拟机技术有两种,一种是普遍应用上的虚拟机技术,它是通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统,此类虚拟机的概念比较广泛,可以是一种使用软件模拟一个完整的计算机硬件环境技术如VMWare,也可以是介于硬件和编译程序之间的交互介质,如Java虚拟机等;另一种则是反病毒产品中使用的“通用解密器”技术,为了检测一些复杂或者代码加密的病毒,杀毒引擎必须让它运行起来以便自我暴露危险程序行为,但是如果病毒真的在用户计算机里运行了,就违背反病毒产品的初衷了,因此反病毒产品也采取了一种虚拟环境检测方法,这就是虚拟机技术,但是这个技术并非是为病毒提供一套计算机仿真系统,这样就太庞大复杂和消耗资源了,这种虚拟机是指杀毒引擎模拟出一个仿真CPU,这个“CPU”具备和真正CPU等同的指令分析功能,杀毒引擎将待检测的程序代码读入“CPU”中逐条指令循环执行,直到出现特定情况才结束工作,在这个过程中探知程序是否具备病毒行为特征或者暴露出病毒特征码。这就是杀毒引擎的“虚拟机技术”,它的目的就是让程序文件在没有实际运行的情况下得到运行后的结果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值