病毒/木马在线分析工具 沙箱 sandboxes(恶意分析软件文件威胁)

VirusTotal是一个广泛使用的在线恶意软件分析平台，它提供了综合的文件和URL扫描服务。
通过使用多个反病毒引擎和其他分析工具，VirusTotal能够检测和分析恶意软件、病毒、恶意URL和其他安全威胁。

总的来说，VirusTotal是一个强大的在线恶意软件分析平台，通过使用多个反病毒引擎和其他分析工具，可以帮助用户检测和分析恶意软件、病毒和恶意URL。
它提供实时的扫描结果、深入的分析和威胁情报，并通过用户社区促进合作和知识共享。
这使得VirusTotal成为安全专业人员和普通用户进行恶意软件分析和威胁评估的重要工具之一。

https://www.virustotal.com/

Any.Run是一个强大的在线恶意软件分析平台，可用于分析和模拟恶意软件的行为。
它提供了一个实时的沙盒环境，可以在其中运行恶意软件样本，以了解其行为和潜在威胁。

总的来说，Any.Run是一个强大的在线恶意软件分析平台，提供实时的沙盒环境和分析功能，帮助安全专业人员分析和理解恶意软件的行为，以及共享情报和协作解决新兴威胁。

https://app.any.run/

Joesandbox是另一个流行的在线恶意软件分析平台，它提供了强大的工具和功能，用于深入分析和研究各种恶意软件样本。

Joe Sandbox 检测并分析 Windows、Android、Mac OS 和 Linux 上的潜在恶意文件和 URL 是否存在可疑活动。
它执行深度恶意软件分析并生成全面详细的分析报告。
通过此网站，您可以访问Joe Sandbox Cloud 社区版。
它允许您在 Windows、Linux 和 Android 上每月最多运行 15 次分析，每天最多运行 5 次分析，分析输出有限。

Joesandbox是一个功能强大的在线恶意软件分析平台，提供高级的行为分析、网络流量捕获、自定义分析选项以及详细的报告和可视化功能。
它被广泛应用于安全研究、威胁情报和恶意软件分析领域。

https://www.joesandbox.com/

https://x.threatbook.com/

Home

virscan

VirScan是一个在线病毒扫描服务，用于检测和分析文件中的恶意软件和病毒。
它提供了一个简单易用的平台，用户可以上传文件并进行扫描，以确定文件是否包含任何已知的恶意代码。

格式不限，支持上传大小不超过 100MB 的文件进行检测。

VirScan的一些主要特点和功能：文件扫描：VirScan允许用户上传文件进行扫描。
这可以是可执行文件、文档、压缩文件、脚本等多种类型的文件。
上传的文件将被扫描以检测其中是否存在已知的病毒和恶意软件。
多引擎扫描：VirScan使用多个反病毒引擎进行扫描，包括多个知名的反病毒厂商的引擎。
通过使用多个引擎，VirScan增加了检测恶意代码和病毒的准确性和可靠性。
实时扫描结果：VirScan在完成扫描后会立即提供扫描结果。
这些结果显示文件是否受感染以及检测到的恶意软件和病毒的名称。
用户可以查看详细的扫描报告，了解有关检测结果的更多信息。
病毒样本库：VirScan维护一个病毒样本库，其中包含了大量已知的病毒和恶意软件样本。
通过与这个样本库进行比对，VirScan可以确定上传文件是否与任何已知的恶意代码相匹配。
用户社区和反馈：VirScan拥有一个用户社区，用户可以分享扫描结果、提供反馈和评论。
这有助于其他用户了解文件的可信度和风险，并提供对其他用户有用的参考信息。

总的来说，VirScan是一个在线病毒扫描服务，通过使用多个反病毒引擎，可以帮助用户检测和分析文件中的恶意软件和病毒。
它提供实时的扫描结果和详细的报告，并通过用户社区促进用户之间的知识共享和交流。

官网地址:

https://www.virscan.org/

截图:

Comodo Valkyrie

Comodo Valkyrie是一个云端威胁情报平台，由Comodo安全解决方案提供。
它通过使用先进的威胁情报和机器学习技术，帮助用户识别、分析和应对恶意软件和威胁活动。

Comodo Valkyrie主要特点和功能：自动化威胁检测：Comodo Valkyrie利用自动化技术和机器学习算法，对文件和应用程序进行威胁检测。
它能够分析文件的行为、代码结构和数字签名等方面，以识别潜在的恶意活动。
威胁情报共享：Comodo Valkyrie建立了一个全球的威胁情报网络，汇集来自数百万终端节点的信息。
这个网络允许用户共享威胁数据、恶意软件样本和分析结果，从而帮助其他用户更好地了解和应对新兴的威胁。
可视化分析报告：Valkyrie生成详细的分析报告，以图表、图形和可视化工具的形式呈现。
这些报告提供有关检测到的威胁、恶意软件行为、相关文件和注册表活动等方面的信息，帮助用户深入理解威胁的性质和影响。
安全决策支持：Comodo Valkyrie提供安全决策支持，根据对文件和应用程序的分析结果，给出相应的建议和操作指南。
这有助于用户快速做出决策，并采取适当的安全措施来防御和应对威胁。
API集成：Valkyrie提供API接口，使用户能够将其功能集成到现有的安全解决方案中。
这样，用户可以直接使用Valkyrie的威胁检测和分析能力，加强其整体安全防御体系。

总的来说，Comodo Valkyrie是一个云端威胁情报平台，通过自动化威胁检测、威胁情报共享、可视化分析报告和安全决策支持，帮助用户识别和应对恶意软件和威胁活动。
它的功能丰富且易于集成，为用户提供了更强大的安全分析和决策支持工具。

官网地址:

https://valkyrie.comodo.com/

截图:

cuckoo sandbox

Cuckoo Sandbox是一个开源的自动化恶意软件分析系统，用于检测和分析各种恶意软件样本。
它提供了一个虚拟环境，能够模拟恶意软件在真实操作系统中的行为，并捕获和分析其活动。

Cuckoo Sandbox 是一种先进、高度模块化、100% 开源的自动化恶意软件分析系统，具有无限的应用机会。

默认情况下，它能够：

分析 Windows、Linux、macOS 和 Android 虚拟化环境下的多种不同恶意文件（可执行文件、Office 文档、pdf 文件、电子邮件等）以及恶意网站。
跟踪 API 调用和文件的一般行为，并将其提炼成任何人都可以理解的高级信息和签名。
转储和分析网络流量，即使使用 SSL/TLS 加密也是如此。
借助本机网络路由支持，可以丢弃所有流量或通过 InetSIM、网络接口或 VPN 路由流量。
通过 Volatility 对受感染的虚拟化系统执行高级内存分析，并使用 YARA 对进程内存粒度进行分析。

由于 Cuckoo 的开源特性和广泛的模块化设计，人们可以定制分析环境、分析结果处理和报告阶段的任何方面。
Cuckoo 为您提供了以您想要的方式、以您想要的格式轻松将沙箱集成到现有框架和后端的所有要求，并且所有这些都无需许可证书。

Cuckoo Sandbox主要特点和功能：恶意软件分析环境：Cuckoo Sandbox提供一个安全的虚拟环境，用于运行恶意软件样本。
它支持多种操作系统（如Windows、Linux），允许样本在虚拟机中运行并监控其行为。
自动化分析：Cuckoo Sandbox具有自动化的分析功能，能够监测和记录恶意软件的行为。
它跟踪文件操作、注册表修改、网络通信等，以获取有关恶意软件行为的详细信息。
多引擎扫描：Cuckoo Sandbox集成了多个反病毒引擎，可以对恶意软件样本进行多引擎扫描，从而提高检测的准确性和覆盖范围。
报告和可视化：Cuckoo Sandbox生成详细的分析报告，其中包括有关恶意软件的行为、网络活动、文件操作等方面的信息。
报告通常使用图表、表格和可视化工具呈现，使用户能够更好地理解和解释分析结果。
插件系统：Cuckoo Sandbox具有可扩展的插件系统，允许用户根据需要自定义和添加功能。
这使得用户可以根据特定的分析需求扩展和定制Cuckoo Sandbox的功能。
社区和合作：Cuckoo Sandbox拥有一个活跃的用户社区，用户可以共享恶意软件样本、分析报告和经验。
这促进了合作和知识共享，有助于更好地应对不断演变的恶意软件威胁。

总的来说，Cuckoo Sandbox是一个功能强大的开源自动化恶意软件分析系统，提供了虚拟化环境、自动化分析、多引擎扫描、报告和可视化等功能。
它的可扩展性和社区支持使其成为安全专业人员和研究人员进行恶意软件分析和威胁研究的重要工具之一。

官网地址:

https://cuckoosandbox.org/

截图:

Hybrid Analysis

Hybrid Analysis是一个在线恶意软件分析平台，旨在帮助用户检测和分析各种恶意软件样本。
它提供了全面的分析工具和服务，以识别、监测和理解恶意软件的行为。

Hybrid Analysis主要特点和功能：文件和URL分析：Hybrid Analysis允许用户提交文件或提供URL进行分析。
用户可以上传可执行文件、文档、脚本等多种类型的文件，或提供恶意URL以检测其中是否存在恶意代码或安全威胁。
多引擎扫描：Hybrid Analysis使用多个反病毒引擎对上传的文件进行扫描，包括知名的反病毒厂商的引擎。
这提供了更高的检测覆盖率和准确性，并帮助用户获得关于文件是否包含已知的恶意软件的更全面的信息。
行为分析和动态运行：Hybrid Analysis通过在受控环境中动态运行恶意软件，捕获其行为和交互。
它可以监测文件的行为、文件操作、注册表修改、网络通信等方面，以获取关于恶意软件的详细信息。
恶意软件样本库：Hybrid Analysis维护一个庞大的恶意软件样本库，其中包含了各种已知的恶意软件样本。
用户可以搜索和浏览这个样本库，了解已知恶意软件的特征、行为和影响。
可视化报告和沙盒截图：Hybrid Analysis生成详细的分析报告，以图表、图形和可视化工具的形式呈现。
报告包括有关恶意软件的行为、网络活动、文件操作等方面的信息。
此外，它还提供沙盒截图，展示恶意软件在受控环境中的运行情况。
社区和合作：Hybrid Analysis拥有一个活跃的用户社区，用户可以共享恶意软件样本、分析报告和经验。
这促进了合作和知识共享，有助于更好地了解和应对新兴的恶意软件威胁。

总的来说，Hybrid Analysis是一个功能强大的在线恶意软件分析平台，提供了文件和URL分析、多引擎扫描、行为分析、恶意软件样本库和可视化报告等功能。
它的社区支持和合作性使其成为安全专业人员和研究人员进行恶意软件分析和威胁研究.

官网地址:

https://www.hybrid-analysis.com/

截图:

Intezer Analyze

Intezer Analyze是一种先进的恶意软件分析平台，使用人类可读的语言和人工智能技术来识别、分类和分析恶意软件样本。
它通过比对代码基因组数据库来发现和关联已知的恶意软件家族，从而提供准确而详细的分析结果。

Intezer Analyze主要特点和功能：基于代码基因组的分析：Intezer Analyze通过创建和维护一个全球性的代码基因组数据库，对恶意软件样本进行基因组比对。
它将恶意软件样本与已知的恶意软件家族进行关联，从而识别出恶意软件的来源、演化历史和行为特征。
人类可读的分析报告：Intezer Analyze生成人类可读的分析报告，以简明扼要的方式呈现恶意软件样本的特征和行为。
它使用易于理解的语言描述，帮助用户快速了解恶意软件的功能、威胁等级和潜在风险。
威胁情报和家族追溯：Intezer Analyze提供与恶意软件家族相关的威胁情报和家族追溯功能。
用户可以查看关于特定恶意软件家族的历史和演化信息，了解其攻击模式、目标和其他相关细节。
自动化恶意软件分类：Intezer Analyze利用人工智能技术和机器学习算法，自动将恶意软件样本分类到相应的家族。
这使得用户能够快速识别恶意软件的类型和风险级别，采取相应的安全措施。
社区和合作：Intezer Analyze鼓励用户社区的合作和知识共享。
用户可以共享恶意软件样本、分析结果和经验，以增强对恶意软件的理解和应对能力。

总的来说，Intezer Analyze是一种先进的恶意软件分析平台，通过基于代码基因组的分析和人类可读的报告，帮助用户识别、分类和分析恶意软件样本。
它提供准确的威胁情报和家族追溯功能，自动化的恶意软件分类，并促进用户社区的合作和知识共享。
这使得Intezer Analyze成为安全专业人员和研究人员进行恶意软件分析和威胁研究的重要工具之一。

官网地址:

https://analyze.intezer.com/

截图:

VMRay

Home

Jevereg

Jevereg 分析潜在恶意可执行文件的行为。
它构建在 Amnpardaz Sandbox 之上 。

此版本仅支持 .exe 文件

文件大小限制为 20MB

官网地址:

https://jevereg.amnpardaz.com/

截图:

IObit Cloud

IObit Cloud是一种先进的自动化威胁分析系统。
使用最新的云计算技术和启发式分析机制，以全自动模式分析间谍软件、广告软件、木马、键盘记录程序、机器人、蠕虫、劫持者和其他安全相关风险的行为。

官网地址:

https://cloud.iobit.com/

截图:

IRIS- H什么是 IRIS-H？

IRIS-H 是一种在线数字取证工具，可以对以基于目录或严格结构化格式存储的文件执行自动静态分析。
该工具生成两种类型的数据视图，以便进行彻底的数字取证检查。
第一个视图称为“报告”；它总结了从分析文件中得出的事实。
在适用的情况下，称为“工作台”的第二个视图可用于进行二进制级别的数据分析。
这两个视图都根据官方文件规范文档丰富了数据描述。
IRIS-H 还配备了基于规则的代码逻辑，试图识别与在计算机系统上打开分析文件相关的风险级别。

它是如何工作的？

报告和工作台数据视图仅在执行文件提交或文件搜索后才可用。
一旦这些操作中的任何一个成功，就会首先加载报表数据视图。
通过单击操作栏中的相应按钮，可以从报告页面访问工作台视图。
文件搜索功能将 MD5、SHA1 或 SHA256 哈希字符串作为输入，检查给定哈希的数据是否已存在，如果找到，则将其加载到报告视图中。
文件提交功能提供了提交文件的接口。
该接口强制上传文件大小限制，并且一次仅接受一个文件。
一旦文件提交被接受，IRIS-H 会将提交的文件分解为单独的文件组件，并对每个组件进行静态分析，其中包括顺序读取、提取和丰富组件的二进制数据。
丰富过程向提取的数据添加人类可读的描述。
数据提取和丰富完成后，IRIS-H 会评估文件威胁级别并将其分配为以下类别之一：良性、可疑或恶意。

经常问的问题

问：支持哪些文件类型？

A. 目前支持以下文件格式：

微软办公文档。
支持最常用的文档类型，例如 Word、Excel 和 PowerPoint。
该服务将识别并处理以 OLE、OOXML 和 OPC 格式存储的文档。
“ Shell 链接二进制文件格式。
” Shell 链接 (.lnk) 通常用于支持应用程序启动和链接方案，但它们也可由需要能够存储对目标文件的引用的应用程序使用。
“富文本格式”。
富文本格式 (RTF) 是一种对格式化文本和图形进行编码的方法，以便在应用程序内使用以及在应用程序之间传输。

问：这是另一个沙盒吗？

答：不会。
提交的文件永远不会使用其相应的主机应用程序打开/启动。
仅执行静态文件分析。

问：我可以提交 ZIP 压缩文件吗？

A(1)。
是的。
支持ZIP存档文件，包括受密码（“ infected ”）保护的文件。
ZIP 存档必须仅包含一个文件，且其大小不得超过 10 MB。
由于底层技术的限制，受密码保护的ZIP 文件大小不应超过 4 MB。

A2）。
此外，还支持GZIP存档文件。
应用标准文件大小限制 (10 MB)。

问：上传文件大小限制是多少？

A. 当前限制设置为10 MB。
如果提交包含要分析的文件的受密码保护的ZIP 文件，则存档的文件大小不应超过4 MB。

问：您会保留提交的文件吗？

答：是的。
所有提交的文件都保存在私人存储中。

问：谁有权访问存储的数据？

答：只有隶属于 IRIS-H 服务的个人才能访问所提交的文件。
然而，在未登录 IRIS-H 的情况下从提交的文件中获得的数据可供公众使用。
这包括图像、嵌入文件、证书和代表各个文件组件的其他二进制数据。

问：我可以删除我上传的文件吗？

答：不可以。
该服务不支持数据删除。

问：该服务是否记录我的 IP 或其他元数据？

答：底层服务基础设施本机记录所有传入连接的 IP 地址和一些连接元数据。
这些日志会定期轮换。
目前，除了性能微调或网络连接故障排除之外，没有计划提取和使用这些数据用于任何目的。

问：是否可以在本地分析我的文件而无需上传它们？

答：不可以。
IRIS-H 是一项云集成服务，无法在独立计算机上执行。

问：如何提出功能请求或报告问题？

答：IRIS-H GitHub项目页面可用于提交功能请求或报告问题。

官网地址:

https://iris-h.services/pages/dashboard

截图:

InQuest Labs官网地址:

https://labs.inquest.net/

截图:

Manalyzer

MAnalyzer是一款先进的频谱分析仪和超声波图，包含平滑、归一化、超分辨率、预滤波和去和谐等独特功能。
随附的仪表提供峰值仪表以及符合 EBU R128 和 ITU-R BS 1770-3 标准的响度仪表。

官网地址:

https://www.meldaproduction.com/MAnalyzer

SandBlast Analysis

https://threatpoint.checkpoint.com/ThreatPortal/emulation

Windows Sandbox

Windows 家庭版目前不支持 Windows Sandbox.

Windows Sandbox 提供了一个轻量级桌面环境，可以安全地独立运行应用程序。
安装在 Windows 沙箱环境中的软件仍然处于“沙箱”状态，并且与主机分开运行。

沙箱是临时的。
当它关闭时，所有软件和文件以及状态都将被删除。
每次打开应用程序时，您都会获得一个全新的沙箱实例。
但请注意，从 Windows 11 版本 22H2 开始，您的数据将通过从虚拟化环境内部发起的重新启动而保留，这对于安装需要操作系统重新启动的应用程序非常有用。

主机上安装的软件和应用程序不能直接在沙箱中使用。
如果您需要 Windows Sandbox 环境中可用的特定应用程序，则必须在该环境中显式安装它们。

先决条件ARM64（适用于 Windows 11 版本 22H2 及更高版本）或 AMD64 架构BIOS 中启用虚拟化功能至少 4 GB RAM（建议 8 GB）至少 1 GB 可用磁盘空间（推荐 SSD）至少两个CPU核心（推荐四核超线程）下载地址:

windows-sandbox/windows-sandbox-overview

Windows 沙箱具有以下属性：Windows 的一部分：此功能所需的一切都包含在 Windows 10 专业版和企业版中。
无需下载 VHD。
原始：每次运行 Windows Sandbox 时，它都像全新安装的 Windows 一样干净。
一次性：设备上没有任何残留物。
当用户关闭应用程序时，所有内容都将被丢弃。
安全：使用基于硬件的虚拟化进行内核隔离。
它依靠 Microsoft 虚拟机管理程序来运行将 Windows Sandbox 与主机隔离的单独内核。
高效：使用集成的内核调度程序、智能内存管理和虚拟GPU。
注意事项:

Windows Sandbox 默认启用网络连接。
可以使用Windows Sandbox 配置文件禁用它。

安装

确保您的计算机使用的是 Windows 10 专业版或企业版、内部版本 18305 或 Windows 11。

在机器上启用虚拟化。

如果您使用的是物理机，请确保在 BIOS 中启用虚拟化功能。

如果您使用的是虚拟机，请运行以下 PowerShell 命令以启用嵌套虚拟化：

Set-VMProcessor -VMName <VMName> -ExposeVirtualizationExtensions $true

SQL

Copy

使用任务栏上的搜索栏并键入打开或关闭 Windows 功能以访问 Windows 可选功能工具。
选择Windows Sandbox，然后选择确定。
如果出现提示，请重新启动计算机。
如果Windows Sandbox选项不可用，则您的计算机不满足运行 Windows Sandbox 的要求。
如果您认为此分析不正确，请查看先决条件列表以及步骤 1 和 2。
笔记要使用 PowerShell 启用沙盒，请以管理员身份打开 PowerShell 并运行以下命令：

Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online

SQL

Copy

在“开始”菜单上找到并选择“Windows Sandbox”以首次运行它。
笔记Windows Sandbox 不遵循主机系统的鼠标设置，因此如果主机系统设置为使用左手鼠标，则必须在 Windows Sandbox 启动时手动应用 Windows Sandbox 中的这些设置。
或者，您可以使用沙箱配置文件运行登录命令来交换鼠标设置。
有关示例，请参见示例 3。

用法从主机复制可执行文件（以及运行应用程序所需的任何其他文件）并将其粘贴到Windows Sandbox窗口中。
在沙箱内运行可执行文件或安装程序。
完成实验后，关闭沙箱。
将出现一个对话框，表明所有沙箱内容都将被丢弃并永久删除。
选择“确定”。
确认您的主机未显示您在 Windows Sandbox 中所做的任何修改。
malware config

Malwareconfig.com 是一个 Web 应用程序，允许您上传恶意软件样本，如果它们与特定恶意软件系列匹配，它将为您提取配置部分。

如果您不想在线保存配置，您可以随时自行获取工具包

样品储存

MalwareConfig 将上传的文件存储到临时文件中以便处理它们。
处理完成后，文件将从系统中删除

MetaData 和 Config 参数是唯一保留的数据。

官网地址:

https://malwareconfig.com/

截图:

jotti

Jotti的恶意软件扫描程序是一项免费服务，让您同时使用几个反病毒程序进行扫描可疑文件。
您可以在同一时间提交最多5的文件。
每个文件有250MB的极限。

官网地址:

https://virusscan.jotti.org/

截图:

360沙箱云官网地址：

https://ata.360.net/

截图：

腾讯哈勃分析系统官网地址:

https://habo.qq.com/

奇安信情报沙箱

支持的文件:

exe、dll、doc、docx、docm、rtf、xls、xlsx、xlsm、ppt、pptx、pptm、mht、pub、mdb、7z、zip、tar、gz、arj、rar、cab、ace、eml、msg、swf、jar、msi、pfm、pdf、chm、equation、lnk、hwp、elf、apk、py、ps1、bat、js、vbs、html、hta、wsf、eps、jse、vbe、bash、url、iqy、slk

CSS

Copy

文件大小:单个文件大小不超过100M

批量上传:

一次最多选择20个文件上传

官网地址

https://sandbox.ti.qianxin.com/sandbox/page

截图：

魔盾安全分析

支持大部分Windows文件分析，安卓APK文件分析

官网地址：

https://www.maldun.com/submit/submit_file/

截图：

标签：恶意文件