在進(jìn)行未知文件分析時，有時我們需要實(shí)際運(yùn)行它，并記錄他的一切行為，進(jìn)而對其進(jìn)行分析。當(dāng)然，我們可以用真機(jī)或者虛擬機(jī)，結(jié)合一些行為記錄軟件來進(jìn)行測試，但在線沙盒有時會更加方便實(shí)用。下面就介紹幾個我找到的在線沙盒。

1 火眼（https://fireeye.ijinshan.com）

??????? 火眼是國內(nèi)的一個在線文件分析站點(diǎn)，由金山公司開發(fā)。在這里，你可以提交自己的文件進(jìn)行分析，目前支持30MB以下的APK,EXE,DLL,BAT,HTML,JS,VBS,MSI和特定格式的壓縮包。對于新提交的文件，會首先獲取文件的MD5，sha-1簽名，與已檢測的文件數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行對比，如果已經(jīng)存在，則會提示選擇是重新分析還是查看最近一次分析結(jié)果。 另外，還可以查看已存在的其它文件的分析報告。 報告中的信息包括文件的基本信息（文件名，大小，類型，時間，MD5，SHA-1），點(diǎn)評，危險行為，其它行為（文件操作，注冊表操作，進(jìn)程操作，網(wǎng)絡(luò)訪問，還有運(yùn)行截圖）。

????????? 這貌似是國內(nèi)唯一的一個對外公開的在線沙盒，最重要的是免費(fèi)。只要回答注冊然后回答幾個問題就可以使用。而且還是中文的看著舒服。而且還有關(guān)鍵行為的時間軸報告，看起來比較簡單明了?？傮w來說，就是簡單方便，但是專業(yè)性可能略顯不足。 如果再說一個優(yōu)點(diǎn)的話，就是不用翻墻

????????? 再來介紹幾個國外的。

2 VIRUSTOTAL(www.virustotal.com)

??????? VirusTotal是一個免費(fèi)的病毒，蠕蟲，木馬和各種惡意軟件分析服務(wù)?？梢葬槍梢晌募途W(wǎng)址進(jìn)行快速檢測。 最大文件大小為64M。文件上傳后會先計算哈希值，與已檢測的文件數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行對比，如果已經(jīng)存在，則會提示選擇是重新分析還是查看最近一次分析結(jié)果。 分析報告中，包括病毒檢出率（51個殺毒引擎查殺）文件詳細(xì)信息（文件頭，字符串，環(huán)境變量，運(yùn)行時庫），文件操作，網(wǎng)絡(luò)操作（HTTP,DNS,TCP,UDP)，進(jìn)程操作，互斥體，HOOK，窗口操作.

???????? 不得不承認(rèn)，VirusTotal做的比國內(nèi)的火眼專業(yè)很多，各種信息記錄的更加詳盡，不僅記錄了各種操作，并且記載了他們的執(zhí)行是否成功，并且對各種信息進(jìn)行了更加細(xì)致的分類。你幾乎可以找到所有你想要找的除了源代碼之外的文件信息和行為記錄。而且速度在國外網(wǎng)站中算是比較快的了，不過還是需要用VPN。再有就是只能上傳自己的文件，或者根據(jù)MD5，URL,IP等信息來查詢報告，而沒有一個索引來查看所有報告。這個其實(shí)也算不上缺點(diǎn)，只能說是小小的不足。總歸瑕不掩瑜，這個網(wǎng)站絕對稱得上專業(yè)兩個字。

3 ThreatExpert（http://www.threatexpert.com）

???????? ThreatExpert is an advanced automated threat analysis system designed to analyze and report the behavior of computer viruses, worms, trojans, adware, spyware, and other security-related risks in a fully automated mode.In only a few minutes ThreatExpert can process a sample and generate a highly detailed threat report with the level of technical detail that matches or exceeds antivirus industry standards such as those normally found in online virus encyclopedias.

???????? ? 偷個小懶，介紹直接貼網(wǎng)站上面的了。主要是我英文也不是太好，怕翻譯錯了。和前面幾個基本大同小異，也是主要有文件操作，注冊表操作和網(wǎng)絡(luò)操作的記錄這些基本功能。另外如果文件中識別出某個病毒的特征字串，也會在報告中顯示出來。另外網(wǎng)站上還可以查詢所有已知威脅，包括名字，威脅等級，和簡單的描述。

4 Anubis（http://anubis.iseclab.org）

????????? Anubis（阿努比斯）也是一個惡意軟件分析的服務(wù)器，可以提交URL和文件進(jìn)行分析，分析報告可以選擇HTML,XML,PDF,TXT,PDF五種格式，報告中包含了測試文件及其釋放文件的文件操作，網(wǎng)絡(luò)操作，注冊表操作等信息。并且對這些操作進(jìn)行了細(xì)分。

5 joe（http://www.joesecurity.org）

???????? 這個貌似沒有找到提交文件的地方，但是上面有一些已經(jīng)存在的報告。報告的信息特別全。與之對應(yīng)的，打開的速度就稍微慢了一些。但是內(nèi)容真的是特別的多，只有你想不到，沒有你找不到。不過看著最新的一個樣本是兩個月之前的。而且貌似是兩個月左右更新一次。作為學(xué)習(xí)之用應(yīng)該是非常不錯的。

6 其它

????? 還有幾個，和上面的都差不太多，但是也各有特色。如malwr（https://malwr.com），毛豆（http://camas.comodo.com）。總之，這些做基本分析的話會比虛擬機(jī)之類的方便很多。不過，如果有一些特殊要求，可能還是自己來做。

總結(jié)

以上是生活随笔為你收集整理的在线沙盒（恶意软件行为分析工具）整理介绍的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。