病毒分析网站和沙箱查找记录

分享一个公开的恶意文件分析网站: VirusTotal

这个网站通过上传可疑文件来进行是否是病毒的分析, 如果你安装了某个软件,发现它经常请求某个ip,某个域名,某个请求路径,也可以将这个ip/域名/请求url填写到搜索框里面,然后搜索是否为恶意请求信息. 这个网站是怎么分析的呢? 有两个方向, 一个是请求其他病毒分析服务api接口,另一个是使用沙箱技术自主分析(其他病毒分析网站也是使用沙箱分析的结果),测试的时候最好使用病毒样本文件测试,如果是普通文件则返回结果很少.

猜测每上传一个文件,后台会先生成对应的的哈希信息,然后比对数据库里面有没有对应哈希, 如果有则直接返回之前的检测结果,如果没有, 则通过沙箱跑一遍,然后将沙箱执行后的结果(包括执行过程中的调用链信息,请求哪些接口,操作了哪些文件,有哪些固定的操作或固定静态值等)保存到数据库,之后返回给用户.

2024年05月27日,virus total网站检测文件用到的沙箱列表如下:

其中CAPE沙箱属于cuckoo沙箱的升级版,而且当前时间一直在更新. 其他的不是已归档就是需要付费,剩下的没搜到(observer,zenbox)

 

CAPE V2版本(支持python3)开源仓库: https://github.com/kevoreilly/CAPEv2

这是官方文档: Introduction — CAPE Sandbox v2.2 Book (capev2.readthedocs.io)

  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
病毒扫描算法是一种用于检测和识别计算机病毒的技术。它通过对计算机系统中的文件、内存和注册表等进行扫描,以查找可能存在的病毒代码或病毒特征。常见的病毒扫描算法包括特征扫描、行为监测和启发式分析等。 1. 特征扫描:特征扫描算法通过比对已知病毒的特征码来检测病毒。这些特征码通常是病毒样本的一部分,可以是病毒的指令序列、文件签名或其他标识。当扫描程序在系统中找到与已知病毒特征码匹配的内容时,就会判定为病毒。 2. 行为监测:行为监测算法通过监控程序的行为来检测病毒。它会观察程序的执行过程,检查是否存在异常行为,如修改系统文件、篡改注册表、网络通信等。如果程序的行为与已知的病毒行为相似或异常,则可能被判定为病毒。 3. 启发式分析:启发式分析算法通过模拟程序的执行过程,检测其是否具有病毒行为。它会对程序进行动态分析,观察其执行路径、系统调用和文件操作等。通过与已知病毒行为进行比对,判断程序是否具有病毒特征。 沙箱分析算法是一种用于检测和分析未知病毒的技术。它通过在隔离的环境中运行可疑程序,观察其行为并分析其影响,以确定是否存在病毒活动。沙箱分析算法通常包括以下步骤: 1. 隔离环境:将可疑程序运行在一个隔离的环境中,以防止其对真实系统造成损害。这个环境通常是一个虚拟机或容器,可以模拟真实系统的运行环境。 2. 动态分析:在隔离环境中运行程序,并监控其行为。这包括文件操作、网络通信、系统调用等。通过观察程序的行为,可以判断其是否具有病毒特征。 3. 行为分析:根据程序的行为进行分析,判断其是否具有恶意活动。例如,检查是否有文件的加密、删除或修改操作,是否有异常的网络连接等。 4. 结果评估:根据分析结果,判断程序是否为病毒。如果发现可疑行为或病毒特征,可以进一步进行深入分析或采取相应的防护措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值