恶意样本分析沙箱哪里买合适

恶意样本分析沙箱是一种重要的网络安全工具，它提供了一个隔离的环境，用于分析和研究恶意软件，而不会对实际系统造成损害。以下是对恶意样本分析沙箱的详细介绍：

恶意样本分析沙箱的选择建议

红雨滴沙箱：由奇安信威胁情报中心开发，提供高对抗性的恶意样本分析服务。
Cuckoo沙箱：开源且免费，支持多种操作系统，包括Windows、macOS、Linux和Android，适用于自动化恶意样本分析。
ANY.RUN：提供在线恶意软件分析平台，提供虚拟化的沙箱环境，模拟恶意软件在实际操作系统中的执行。
腾讯哈勃分析系统：腾讯反病毒实验室自主研发，支持中文，适合识别恶意文件。
微步在线云沙箱：基于虚拟化沙箱深度分析技术，提供恶意文件自动化、可定制化的行为分析。

恶意样本分析沙箱的主要功能

隔离和保护：防止恶意行为对其他用户或应用程序造成影响。
限制和监控：限制对网络资源的访问，监控网络行为。
分析和审计：记录和分析用户或应用程序的网络行为，帮助识别潜在的安全威胁。

选择合适的恶意样本分析沙箱时，应考虑沙箱的支持平台、分析能力、易用性以及成本等因素。不同的沙箱工具可能更适合不同的分析需求和环境。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

恶意样本 | 常用恶意软件分析平台

声明：本人坚决反对利用文章内容进行恶意攻击行为，一切错误行为必将受到惩罚，绿色网络需要靠我们共同维护，推荐大家在了解技术原理的前提下，更好的维护个人信息安全、企业安全、国家安全。...0x01 前言做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台，用来分析一些木马样本，例如：钓鱼邮件的恶意样本分析，分析网上下载的工具是否存在木马后门，自己编写了免杀工具查看其免杀效果等...接下来，小编通过网上搜集了一些恶意软件检测的在线平台，总结如下： 0x02 恶意软件检测分析平台 VirSCAN： https://www.virscan.org VirusTotal： https:/...： https://www.maldun.com 微步在线云沙箱： https://s.threatbook.cn 腾讯哈勃分析系统： https://habo.qq.com 奇安信威胁情报中心： https...://ti.qianxin.com 大圣云沙箱检测系统： https://mac-cloud.riskivy.co

2.1K3 0

恶意样本基础分析技巧

我们需要知道这个恶意代码到底做了什么，如何进行有效检测，才能进一步消除它带来的影响。本文主要通过几个简单的步骤，分享恶意样本分析的基本方法。...---- 1、多引擎在线病毒扫描找到了一个恶意样本程序，通过多病毒引擎进行安全扫描，可以帮助你判断文件是否为恶意程序。 VirSCAN：免费多引擎在线病毒扫描1.02版，支持47个杀毒引擎。...2、文件哈希值文件哈希值是恶意代码的指纹，通过它用来确认文件是否被篡改，也可以通过HASH值查找恶意样本，一般我们也可以使用多种哈希验证文件的唯一性。 ?...可通过获取关键信息，来猜测恶意代码的功能。 ? 6、云沙箱分析将恶意样本上传到微步云沙箱，通过威胁情报、静态和动态行为分析，以发现恶意程序存在的异常。...微步云沙箱： https://s.threatbook.cn/ ? 7、动态行为分析通过火绒剑对文件行为、注册表行为、进程行为、网络行为进行分析，捕获恶意样本特征。 ?

2K2 0

红蓝对抗-Cuckoo 恶意软件分析沙箱部署教程

Cuckoo Cuckoo(布谷鸟)沙箱是一个开源且免费的自动化的恶意样本分析系统。...，概述该文件在沙箱中执行时的行为,支持分析Windows, macOS, Linux, 和 Android下的恶意文件....当提交样本到cuckoo host后，cuckoo host会调度一个空闲的analysis guest节点，同时将样本传递给所选择的沙箱节点进行自动化分析，分析结束之后将沙箱节点采集到的分析数据进行汇总...等待状态变为reported说明已经分析完成，点击任务可查看分析报告总结总体来说cuckoo还是一款比较完善且专业的开源沙箱分析系统, 对于研究分析恶意软件和应急响应人员来说都是一个很不错的选择...稍有差错会导致运行失败英文界面, 需要使用者具有一定的英语基础内存分析时间太长, 基本都在半小时左右更新迭代慢(最新版本为2019年发布) 默认的规则, 样本库对恶意软件的支持较少对于新的恶意软件需要使用者自己编写

6.5K1 0

三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析

如果能追踪这些攻击数据包的来源，定位攻击者的真实位置，受害主机不但可以采用应对措施，如在合适位置过滤攻击数据包，而且可以对攻击者采取法律手段。...3.相似性计算溯源旨在通过分析样本的同源性定位到家族或作者，样本的同源性可以通过分析代码相似性来获取。相似性计算旨在衡量恶意代码间相似度，具体为采用一种相似性模型对恶意代码的特征进行运算。...追踪溯源方法恶意样本的追踪溯源需要以当前的恶意样本为中心，通过对静态特征和动态行为的分析，解决如下问题：谁发动的攻击？攻击背景是什么？攻击的意图是什么？谁编写的样本？...5.同源分析该方法主要为在获取到恶意样本后，很难第一时间关联到攻击者或者恶意样本提供者的信息，但是可以通过和历史恶意代码进行相似度分析，获得历史攻击事件，从而关联到相应的组织或团体。...] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析参考文献： [1]姜建国,王继志,孔斌,等.

5.2K3 0

恶意代码分析实战六：熊猫烧香病毒样本分析

熊猫烧香行为分析查壳因为程序肯定是病毒,我就不上传杀毒网去查杀了。正常我们在分析一个未知恶意程序的时候，流程都是要先上传杀毒网看看。...导出表中分析出URLDownload函数，此函数多为下载者恶意程序。弱口令内网135端口爆破感染U盘下载者功能 135弱口令爆破密码。 U盘感染字符串关键字。恶意下载者函数。...行为分析进程树监控这里我们还是用Process Monitor来监控病毒行为，打开Process Monitor，在筛选条件中将“样本.exe”加入到筛选器的“Process Name”中，然后运行病毒...main入口函数用“倚天剑”IDA Pro载入样本后可以看到如下图：图1是样本的main函数入口最开始的汇编代码，我们不从第一行汇编代码开始看，因为大部分内容都是Delphi自动生成的，我们只找关键位置来看...，就有分析出样本.exe会把自身拷贝到这个目录，达到伪装隐蔽的效果。

3.4K2 0

负载恶意软件HawkEye的VB Inject样本分析

0x01 概述恶意软件HawkEye的利用大多都是通过钓鱼邮件分发，利用office直接启动HawkEye主体或者一些经过加密的程序，本文中的VB Inject属于后者，也把重心放在了调试这个VB程序上...VirusTotal上的该样本信息： ? 病毒名大多为VBKrypt或者VBInject。 0x02 行为监控 ?...用wireshark抓网络行为，发现该样本会访问http://whatismyipaddress.com/，并与yandex邮件服务器建立连接。 ?...0x05 样本主体在之前的行为监控中，注意到，样本在C:\User\user\AppData\Romaing\目录下生成了三个文件 pid.txt，pidloc.txt，WindowsUpdate.exe...反编译成功后，发现该程序是恶意软件HawkEye，用于凭据窃取，包括电子邮件Web浏览器，Bitcoin钱包，反病毒检查，键盘记录等。

1.1K1 0

Norimaci：一款针对macOS的轻量级恶意软件分析沙箱

关于Norimaci Norimaci是一款针对macOS的轻量级恶意软件分析沙箱，Norimaci使用了OpenBSM和Monitor.app的功能来监控macOS操作系统的活动（没有使用Sysinternals...在该工具的帮助下，广大研究人员可以轻松监控macOS下的恶意软件活动情况。...我们需要构建一个macOS虚拟机来执行恶意软件样本。...广大研究人员可以使用下列命令将该项目源码克隆至本地： git clone https://github.com/mnrkbys/norimaci.git 工具使用结合OpenBSM使用 1、使用sudo运行norimaci.py； 2、运行恶意软件样本...1、使用sudo运行norimaci.py； 2、Norimaci启动Monitor.py后输入密码，因为Monitor.app需要密码来安装它的kext文件； 3、运行一个恶意软件样本； 4、等待一段时间

9611 0

一个Hancitor恶意邮件活动Word文档样本的分析

与“分析一个用于传播Hancitor恶意软件的Word文档（第一部分）”【https://www.freebuf.com/articles/system/181023.html】一文中描述的现象很相似。...经过对宏文档和PE负载的分析，发现本次样本包含的宏代码与Hancitor文档宏代码有较大的变化，但是通过对内含主要PE负载文件的分析，发现二者基本一致，比如IDA反汇编后形式、代码加密执行、网络通信协议...因此，可基本判定本次恶意邮件攻击属于Hancitor恶意邮件攻击行动。...二、恶意宏分析打开后，发现宏包含了两个窗体对象UserForm1和UserForm2，并且包含的内容都是“4d5a9000”开头的字符串，很明显这是两个PE文件。 ?...三、结语与以往宏病毒样本相比，本次恶意宏文档具备如下的几个特点： 1、没有网络下载动作。文档内直接包含恶意负载部分，没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。

1.6K1 0

五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注（含学术探讨）

这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注，在通过VS、VT采集批量样本后，通常需要样本家族标注，如何准确识别家族类别至关重要，其将为后续的恶意软件家族分类或溯源提供帮助。...代表性恶意软件如下表所示：恶意代码溯源是指通过分析恶意代码生成、传播的规律以及恶意代码之间衍生的关联性，基于目标恶意代码的特性实现对恶意代码源头的追踪。...二.利用MS Defender批量标注恶意软件假设存在如下所示的恶意软件，包括PE样本、Powershell样本和XLM样本，MD5仅给出部分。...1.构建恶意软件样本白名单通常，我们会遇到的第一个问题是：这些病毒样本会被杀毒软件查杀，如何解决呢？...（3）开展Ground-Truth数据集的验证分析最终结论：针对VirusTotal恶意软件在线分析平台当前存在的问题，本文基于数据驱动的模型，指出采信结果时应去除频繁反转的部分，探索选取合适的阈值应用于标签动态整合最终测试结果

3841 0

五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注（含学术探讨）

代表性恶意软件如下表所示：恶意代码溯源是指通过分析恶意代码生成、传播的规律以及恶意代码之间衍生的关联性，基于目标恶意代码的特性实现对恶意代码源头的追踪。...因此，如何有效检测恶意软件，溯源恶意软件至关重要。那么，当我们从VS、VT、微步在线等网站采集海量样本，如何对恶意软件的家族进行标注呢？这就是本文需要研究的问题。...二.利用火绒批量标注恶意软件假设存在如下所示的恶意软件，包括PE样本、Powershell样本和XLM样本，MD5仅给出部分。我们需要利用火绒软件识别恶意家族。...1.恶意软件家族标注接下来我们利用火绒进行病毒扫描，然后扫描如果是恶意软件会为每个样本生成一个结果描述，通过这些结果描述即可对恶意软件家族进行标注。整个原理是利用火绒病毒库进行关键特征匹配实现。...（3）开展Ground-Truth数据集的验证分析最终结论：针对VirusTotal恶意软件在线分析平台当前存在的问题，本文基于数据驱动的模型，指出采信结果时应去除频繁反转的部分，探索选取合适的阈值应用于标签动态整合最终测试结果

4381 0

二进制程序分析指南

研究员需要初步通过恶意文件的功能、证书、编译日期等基本信息来确认文件是否为恶意文件。然后创建控制流分析恶意文件的逻辑进行进一步的调查。与高级静态分析相比，这种分析对于混淆加固的样本是无效的。...沙箱分析—Cuckoo 测试的过程中需要限制样本的影响，研究人员在沙箱解决方案中运行恶意软件样本。沙箱工具通常提供内存转储分析功能，因此可以更好地了解内存中发生的情况。...黑客知道，如果他们的恶意软件样本在虚拟机或沙盒中运行，病毒样本会被轻易的执行、行为检测或者自动化的逆向分析出来，黑客会选择自我保护、伪装。其实黑客与安全研究人员的沙箱之间的攻防战争，从来没有结束过。...互联网上有多种免费的沙箱解决方案，研究人员可以在上传样本并等待报告。...沙箱可以在本地部署，并且需要一台主机(管理终端)和多个沙箱客户端(分析用虚拟机)，客户端数量取决于样本数量以及服务器性能。

2.2K1 0

【连载】2016年中国网络空间安全年报（八）

其中负载分析主要是指通过沙盒对样本进行更深层次的分析以发现依靠简单特征无法发现的高级威胁，但在对恶意样本分析的过程中，发现越来越多的逃逸和对抗样本，这些样本在对抗沙箱检测的过程中先会对虚拟机环境进行识别...4.4.3 样本同源性分析技术样本同源性分析技术是对APT事件追踪关键的一个环节，恶意代码与正常程序的区别在于其运行后会对计算机及网络系统产生危害。...▲ 图 4‑18 勒索病毒行为调用过程以下是样本同源性分析的具体思路：通过沙箱可以提取所有样本的具体恶意行为，而其中一些样本是具有相应的规律的，尤其是出自相同的黑客组织，这些同源的恶意代码在具体的行为操作上有着相同或相似的片段...▲ 图 5‑1 勒索病毒分类 5.2 勒索病毒以遍历文件与加密行为为主通过沙箱分析技术，可以对勒索病毒精准分类判断，通过沙箱取样分析并提取其中的关键行为，包括进程行为、文件行为、网络行为等信息，其中的典型恶意行为排序如下...▲ 图 5‑3 勒索病毒执行过程在沙箱分析过程中发现了新型勒索病毒样本具备大量的反调试行为，用于对抗调试器的分析。

1.7K4 0

【收藏】10大常用恶意软件检测分析平台

三、ANY.RUN：https://any.run Any.Run是一种恶意软件分析沙箱服务，研究人员可以利用交互式Windows桌面查看恶意软件的行为，而Any.Run可以记录其网络活动，文件活动和注册表更改...研究人员在新的密码窃取木马垃圾邮件活动中发现，恶意软件会检测是否在Any.Run上运行，如果是恶意软件会自动退出而无法执行，因此沙箱无法对其进行分析。...七、微步在线云沙箱：https://s.threatbook.cn ThreatBook Cloud Sandbox恶意软件分析平台,与传统的反恶意软件检测不同，微步云沙箱提供完整的多维检测服务，通过模拟文件执行环境来分析和收集文件的静态和动态行为数据...用户可以通过简单的操作，上传样本并得知样本的基本信息、可能产生的行为、安全等级等等信息，从而更便捷地识别恶意文件。...大圣云沙箱是一款基于云端架构的高级威胁检测和恶意软件免费分析服务，通过引入沙箱技术对最新高级恶意软件进行虚拟执行、行为捕获等全面深入的分析检测。

10.6K1 0

病毒分析快速入门（二）--实战QuasarRAT

前期准备完成，便可以着手进行样本分析了。样本可从app.any.run获取，使用邮箱免费注册后，便可以下载该沙箱的公开样本小c随便在该沙箱选择了一个样本，下载，准备开搞 ?...---- 动态行为 ---- 在样本分析的过程中，首先通过虚拟机，沙箱等运行样本，看样本执行什么样的行为，再根据其行为去分析样本中代码，这样的方式有助于加快分析速度。...通过搜索引擎可知，该命令可将任何脚本、程序或文档设置在任何时间自动执行起来，恶意代码常通过此命令将自身设置到某个时间段运行，以达到在受害者计算机持久化运行的目的。...将释放的dllcheck.exe设置为计划任务，实现持久性 02 外部沙箱这次选用微步在线沙箱（https://s.threatbook.cn/）运行样本试一下（在以后正式的工作中，最好别将公司安排分析的样本传到外部沙箱...，在实际静态分析恶意代码之前，可先通过查阅同家族样本相关报告，先熟悉该家族木马，再进行详细分析。

3.5K4 1

五十四.恶意软件分析 (6)PE文件解析及利用Python获取样本时间戳详解

享受过程，一起奋斗~ 前文详细介绍2022 DataCon大数据安全分析中恶意样本IOC自动化提取和攻击者画像分析内容。...PE文件是可移植、可执行、跨Win32平台的文件格式所有Win32执行体（exe、dll、kernel mode drivers）知道PE文件本质后，能更好进行恶意样本分析、APT攻击分析、勒索病毒分析...但这里存在一个问题，当有很多恶意样本的时候，我们基于多个样本时间戳并结合正常作息时间进行分析，才能判断其来源。...因为作者习惯晚上写代码，但如果是软件或恶意样本，大公司通常会有正常的作息，从而可以结合海量数据分析来确定最终的软件来源地区或国家。...IP定位，尝试进行流量抓取分析利用深度学习进行分类，然后提取不同国家的特征完成溯源本文尝试的是最简单的方法，所以也存在很多问题，比如当有很多恶意样本的时候，我们才能基于多个样本时间戳并结合正常作息时间进行分析

1.3K1 1

基于海量样本数据的高级威胁发现

沙箱云监测恶意软件家族我们通过沙箱云等监测系统，持续关注互联网中的恶意软件的活跃动态。下图是我们通过沙箱云在一段时间内监测到的恶意软件样本的数量和各恶意软件家族占比的情况。...数据来源是用户在沙箱云提交监测的样本，还有我们内部通过样本运营流程检测的数据，大致反映了目前我们已知特征的恶意软件家族的活跃情况。...沙箱云监测漏洞利用样本除了恶意软件家族之外，我们通过沙箱云还在持续监测互联网中的 N-day 漏洞利用的活跃情况。这些 N-day 漏洞覆盖了操作系统和流行应用软件。...这首先需要一种针对恶意行为的自动化检测技术。沙箱我们使用沙箱技术来应对恶意行为的自动化检测。什么是沙箱？...，得出评估结论：恶意、可疑或是正常的；与此同时，面向专业分析人员提供得出此评估结论的详细分析依据。

3.7K1 0

恶意样本和威胁情报资源的分享

背景对于威胁情报的分析很大部分都是需要基于恶意样本为载体进行展开分析的，白帽研究员、二进制分析以及逆向研究员在学习和研究过程中，也需要各种类型的恶意样本进行研究分析。...3、https://tria.ge/reports/public 该平台的恶意样本量还有恶意样本的种类还是比较丰富的，同时也有对应的恶意样本的分析报告，可以结合需要进行获取恶意样本。...4、https://www.hybrid-analysis.com/ 该平台对样本分析识别是否为恶意样本，采用AV的检测方案，同时检测的指标还很多，也对恶意样本进行风险评估，并且将样本里面的攻击方案和防护方案都做分析...国内恶意样本源 1、微步在线云沙箱： https://s.threatbook.com/ 这个微步云沙箱平台的恶意样本也是各种类型都有并且样本量也很多，对恶意样本分析也很详细的。...2、奇安信威胁情报中心: https://ti.qianxin.com/ 这个平台的恶意样本和威胁情报分析还是很不错，对于威胁情报分析奇安信还是很专业的，可以结合前面平台进行分析和恶意样本获取。

8284 0

Sodinokibi 病毒分析报告

该样本是云沙箱漏报的样本，需要人工分析漏报的原因，以及具体的行为分析。...反沙箱技术该样本在运行初期，会调用 2 次 SetErrorMode 函数，通常我们分析病毒的时候，都是直接就跳过了，并没有往里面深入多想。但这却能成为反沙箱的技术手段。 ?...（ps：得要参与沙箱开发的才知道沙箱机制会使用这一段代码了）如第一张图所示，恶意代码进行了 2 次的 SetErrorMode 函数，紧接着就是 cmp 对比。伪 C 代码示意： ?...病毒分析往下的病毒分析主要就是写分析流程了，当时外网发布的那篇分析文章就十分之详细样本是个伪装成 PDF 文件的 .exe 程序，拖入 IDA 静态分析在函数列表找到 wWinMain 入口函数先做了恶意代码运行前的前期铺垫工作...恶意程序创建了多线程，加快遍历加密文件的速度 ? 样本使用了 I/O 端口模型进行线程间通信以及 salsa20 加密算法对系统文件进行加密 ? ? 使用自绘函数代码，修改用户桌面背景 ?

1.7K3 0

五十三.DataCon竞赛 (2)2022年DataCon涉网分析之恶意样本IOC自动化提取详解

这篇文章是作者2022年参加清华大学、奇安信举办的DataCon比赛，主要是关于涉网FZ分析，包括恶意样本IOC自动化提取和攻击者画像分析两类题目。...] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析 [系统安全] 三十二.恶意代码检测(2)常用技术万字详解及总结 [系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术 [系统安全...ATT&CK技战术 [系统安全] 四十六.恶意软件分析 (3)动态分析经典沙箱Cape的安装和基础用法详解 [系统安全] 四十七.恶意软件分析 (4)Cape沙箱批量提取动态API特征 [系统安全] 四十八....恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解 [系统安全] 四十九.恶意家族分类 (1)基于API序列和机器学习的恶意家族分类实例详解 [系统安全] 五十.恶意家族分类...2022年DataCon涉网分析之恶意样本IOC自动化提取详解

7325 1

干货分享 | 几种典型勒索病毒事件应对与处置案例

进一步对告警信息进行深入分析，发现5个恶意文件均通过邮件方式传播，在内部沙箱系统中验证典型行为有：遍历文件、打开服务控制管理器、获取当前用户名、通过脚本文件发送HTTP请求、调用加密算法库等，这些行为表明该恶意文件就是我们一直关注的勒索病毒...以下为其中一起事件中样本行为的沙箱分析： ? 事件处理： 1)发现该攻击事件后，安恒信息的技术人员第一时间通知客户，及时对该邮件和附件进行删除。...客户案例五事件起源： 5月15日下午，部署在某客户网络中的APT设备发现了一个PDF文件，沙箱分析结果显示行为有溢出成功、使用ShellExecute执行恶意文件等敏感行为，经过进一步分析发现，该PDF...进一步分析发现，都具有溢出成功，使用ShellExecute执行恶意文件等敏感行为，该PDF样本包含一个OpenAction，并直接指向ID：5的JS流，然后进一步通过指定服务器下载恶意程序，对本地文件进行加密操作...主要采用了流量分析技术和沙箱分析技术，从流量中分离下载的文件、传输的邮件附件等，然后再基于APT设备的动态沙箱虚拟执行引擎，可以对js、exe、vbs等各种类型的勒索病毒运行分析，提取其中的关键行为，包括进程行为

2.3K6 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云