[杀软评测]在线程序行为分析工具评测---易用性、准确度、反逃逸能力测试（2021/7/26）-意大利无缘世界杯-世界杯赔率_男乒世界杯决赛

本帖最后由 00006666 于 2021-7-26 12:39 编辑

在线沙箱是一种非常常用的程序行为分析工具，也是一种重要的病毒分析工具，如今已有多款成熟的在线沙箱平台供选择，不同平台间各有优缺点，本次测试将对多款主流在线沙箱平台进行综合评估。

在真实环境中有部分恶意程序具备分析环境探测能力，在检测到疑似分析环境后即停止运行，因此在线沙箱的反逃逸能力是一项非常重要的内容。

本次测试将使用al-khaser工具对在线沙箱平台的准确度与反逃逸能力进行评估，测试所使用的al-khaser工具是一款综合的反虚拟机、反调试、反检测能力测试工具。

68747470733a2f2f692e696d6775722e636f6d2f6a454668734a542e706e67.png (92.53 KB, 下载次数: 942)

下载附件

2021-7-26 10:19 上传

待测试的在线沙箱平台网址微步云沙箱https://s.threatbook.cn/ 360云沙箱https://ata.360.cn/ 奇安信沙箱https://ti.qianxin.com/ MalDunhttps://www.maldun.com/submit/submit_file/ Habohttps://habo.qq.com/ OPSWAT https://metadefender.opswat.com/

结果总结：

多引擎扫描 64位环境 32位环境可选配置易用性准确度反逃逸能力微步云沙箱支持支持支持支持高高中 360云沙箱支持支持* 支持支持* 高高中奇安信沙箱不支持支持支持不支持高中低 MalDun 支持支持支持支持低低低 Habo 不支持支持支持不支持高中中 OPSWAT 支持支持支持支持高低低

*号代表功能需付费

(一) 微步云沙箱

微步云沙箱可选分析环境丰富，可调分析时间，支持加密压缩包，是在线沙箱中的一个比较好的选择，但其抗逃逸能力较弱。

文件上传界面，可选配置丰富。

微步1.PNG (38.4 KB, 下载次数: 991)

下载附件

2021-7-26 10:32 上传

微步2.PNG (51.78 KB, 下载次数: 945)

下载附件

2021-7-26 10:32 上传

微步3.PNG (49.79 KB, 下载次数: 953)

下载附件

2021-7-26 10:32 上传

分析结果界面，结果详细，有完整的程序运行时截图，具备识别程序虚拟机探测行为的能力。

微步4.PNG (83.25 KB, 下载次数: 1035)

下载附件

2021-7-26 10:32 上传

微步5.PNG (95.35 KB, 下载次数: 937)

下载附件

2021-7-26 10:32 上传

微步6.PNG (91.42 KB, 下载次数: 928)

下载附件

2021-7-26 10:33 上传

微步7.PNG (191.82 KB, 下载次数: 1030)

下载附件

2021-7-26 10:33 上传

分析环境抗逃逸能力尚有不足，测试所用工具于微步沙箱分析环境中多次探测到调试器与虚拟机。

微步8.jpg (195.88 KB, 下载次数: 939)

下载附件

2021-7-26 10:33 上传

微步9.jpg (214.5 KB, 下载次数: 911)

下载附件

2021-7-26 10:33 上传

微步10.jpg (191.92 KB, 下载次数: 918)

下载附件

2021-7-26 10:33 上传

微步11.jpg (179.13 KB, 下载次数: 958)

下载附件

2021-7-26 10:33 上传

(二) 360云沙箱

360云沙箱界面美观，分析结果详细，不足之处在于免费用户只能使用32位分析环境。

主界面

3601.PNG (141.25 KB, 下载次数: 896)

下载附件

2021-7-26 10:40 上传

文件上传界面

3602.PNG (55.02 KB, 下载次数: 992)

下载附件

2021-7-26 10:40 上传

3603.PNG (81.16 KB, 下载次数: 938)

下载附件

2021-7-26 10:40 上传

分析结果中的部分高级分析内容需要专业版才能查看，具备识别程序虚拟机探测行为的能力，ATT&CK 映射内容详细。

3604.PNG (55.51 KB, 下载次数: 884)

下载附件

2021-7-26 10:41 上传

3605.PNG (63.34 KB, 下载次数: 984)

下载附件

2021-7-26 10:41 上传

3606.PNG (114.03 KB, 下载次数: 1010)

下载附件

2021-7-26 10:41 上传

登录后可查看个人历史分析报告总结。

3607.PNG (80.43 KB, 下载次数: 989)

下载附件

2021-7-26 10:41 上传

反逃逸能力尚且不足，测试所用工具可在360云沙箱中探测到虚拟机。

29431eb9ced7e2341be78cb67cd2043b59b03d8c3c1abbd261004701969fe44f.jpg (111 KB, 下载次数: 895)

下载附件

2021-7-26 12:32 上传

(三) 奇安信沙箱

奇安信沙箱可支持100MB大小文件，支持64位分析环境，但不能自行选择分析环境，分析准确度与反逃逸能力尚有不足，未能准确识别程序行为。

qax3.PNG (43.68 KB, 下载次数: 985)

下载附件

2021-7-26 10:46 上传

qax2.PNG (45.21 KB, 下载次数: 941)

下载附件

2021-7-26 10:46 上传

qax1.PNG (76.21 KB, 下载次数: 991)

下载附件

2021-7-26 10:46 上传

(四) MalDun

MalDun分析结果较为简陋，界面比较复杂，易用性较低，分析准确度与反逃逸能力尚有不足，未能准确识别程序行为。

maldun1.PNG (272.27 KB, 下载次数: 981)

下载附件

2021-7-26 10:53 上传

maldun2.PNG (46.46 KB, 下载次数: 903)

下载附件

2021-7-26 10:53 上传

maldun3.PNG (63.08 KB, 下载次数: 914)

下载附件

2021-7-26 10:53 上传

（五）Habo

Habo界面美观，分析速度快，分析准确度存在不足。

哈勃1.PNG (671.81 KB, 下载次数: 1034)

下载附件

2021-7-26 10:55 上传

哈勃2.PNG (191.25 KB, 下载次数: 956)

下载附件

2021-7-26 10:55 上传

哈勃4.PNG (79.47 KB, 下载次数: 951)

下载附件

2021-7-26 10:56 上传

哈勃5.PNG (65.87 KB, 下载次数: 1007)

下载附件

2021-7-26 10:56 上传

哈勃6.png (400.44 KB, 下载次数: 927)

下载附件

2021-7-26 10:56 上传

(六) OPSWAT

OPSWAT同时具有在线多引擎扫描与程序行为分析功能，界面美观，但分析准确度存在不足。

op1.PNG (380.04 KB, 下载次数: 903)

下载附件

2021-7-26 11:13 上传

opswat2.PNG (106.2 KB, 下载次数: 902)

下载附件

2021-7-26 11:13 上传

opswat3.PNG (89.32 KB, 下载次数: 991)

下载附件

2021-7-26 11:13 上传