在线程序行为分析工具评测---易用性、准确度、反逃逸能力测试（2021/7/26）

00006666

在线沙箱是一种非常常用的程序行为分析工具，也是一种重要的病毒分析工具，如今已有多款成熟的在线沙箱平台供选择，不同平台间各有优缺点，本次测试将对多款主流在线沙箱平台进行综合评估。


在真实环境中有部分恶意程序具备分析环境探测能力，在检测到疑似分析环境后即停止运行，因此在线沙箱的反逃逸能力是一项非常重要的内容。


本次测试将使用al-khaser工具对在线沙箱平台的准确度与反逃逸能力进行评估，测试所使用的al-khaser工具是一款综合的反虚拟机、反调试、反检测能力测试工具。

待测试的在线沙箱平台	网址
微步云沙箱	https://s.threatbook.cn/
360云沙箱	https://ata.360.cn/
奇安信沙箱	https://ti.qianxin.com/
MalDun	https://www.maldun.com/submit/submit_file/
Habo	https://habo.qq.com/
OPSWAT	https://metadefender.opswat.com/

结果总结：

	多引擎扫描	64位环境	32位环境	可选配置	易用性	准确度	反逃逸能力
微步云沙箱	支持	支持	支持	支持	高	高	中
360云沙箱	支持	支持*	支持	支持*	高	高	中
奇安信沙箱	不支持	支持	支持	不支持	高	中	低
MalDun	支持	支持	支持	支持	低	低	低
Habo	不支持	支持	支持	不支持	高	中	中
OPSWAT	支持	支持	支持	支持	高	低	低

*号代表功能需付费


(一)  微步云沙箱

微步云沙箱可选分析环境丰富，可调分析时间，支持加密压缩包，是在线沙箱中的一个比较好的选择，但其抗逃逸能力较弱。

文件上传界面，可选配置丰富。

     

分析结果界面，结果详细，有完整的程序运行时截图，具备识别程序虚拟机探测行为的能力。

            

分析环境抗逃逸能力尚有不足，测试所用工具于微步沙箱分析环境中多次探测到调试器与虚拟机。

        


(二)  360云沙箱

360云沙箱界面美观，分析结果详细，不足之处在于免费用户只能使用32位分析环境。

主界面



文件上传界面

  

分析结果中的部分高级分析内容需要专业版才能查看，具备识别程序虚拟机探测行为的能力，ATT&CK 映射内容详细。

  

登录后可查看个人历史分析报告总结。



反逃逸能力尚且不足，测试所用工具可在360云沙箱中探测到虚拟机。




(三)  奇安信沙箱

奇安信沙箱可支持100MB大小文件，支持64位分析环境，但不能自行选择分析环境，分析准确度与反逃逸能力尚有不足，未能准确识别程序行为。

     

(四)  MalDun

MalDun分析结果较为简陋，界面比较复杂，易用性较低，分析准确度与反逃逸能力尚有不足，未能准确识别程序行为。

        

（五）Habo

Habo界面美观，分析速度快，分析准确度存在不足。

              


(六)  OPSWAT

OPSWAT同时具有在线多引擎扫描与程序行为分析功能，界面美观，但分析准确度存在不足。

     

暗_黑

Attention Required! | Cloudflare (any.run)

ANY.LNK

这是指反沙箱检测能力吧，逃逸指的是“漏沙”、从虚拟机、沙盒等平台跨越到实体机或在多个虚拟设备间传播的能力吧（如果我的观念不对，欢迎指正）

idgg007

我发现一个未提及的云沙箱：某一个云沙箱，感觉分析得很慢

BE_HC

咋感觉这篇这么熟悉
惹，同类型文章如下

1. https://bbs.kafan.cn/thread-2181869-1-1.html

复制代码

00006666

BE_HC 发表于 2021-7-26 16:22
咋感觉这篇这么熟悉
惹，同类型文章如下

我的这篇帖子是综合评测，不局限于反逃逸能力。

QVM360

我最爱的anyrun呢

wwwab

QVM360 发表于 2021-7-27 10:39
我最爱的anyrun呢

在楼主的眼里没有排到名次哈哈哈

a27573

QVM360 发表于 2021-7-27 10:39
我最爱的anyrun呢

楼主说他找不到能注册的邮箱

InnoriaAlter

a27573 发表于 2021-7-27 13:26
楼主说他找不到能注册的邮箱

233333想到了当年那事情