分享一个公开的恶意文件分析网站: VirusTotal
这个网站通过上传可疑文件来进行是否是病毒的分析, 如果你安装了某个软件,发现它经常请求某个ip,某个域名,某个请求路径,也可以将这个ip/域名/请求url填写到搜索框里面,然后搜索是否为恶意请求信息. 这个网站是怎么分析的呢? 有两个方向, 一个是请求其他病毒分析服务api接口,另一个是使用沙箱技术自主分析(其他病毒分析网站也是使用沙箱分析的结果),测试的时候最好使用病毒样本文件测试,如果是普通文件则返回结果很少.
猜测每上传一个文件,后台会先生成对应的的哈希信息,然后比对数据库里面有没有对应哈希, 如果有则直接返回之前的检测结果,如果没有, 则通过沙箱跑一遍,然后将沙箱执行后的结果(包括执行过程中的调用链信息,请求哪些接口,操作了哪些文件,有哪些固定的操作或固定静态值等)保存到数据库,之后返回给用户.
2024年05月27日,virus total网站检测文件用到的沙箱列表如下:
其中CAPE沙箱属于cuckoo沙箱的升级版,而且当前时间一直在更新. 其他的不是已归档就是需要付费,剩下的没搜到(observer,zenbox)
CAPE V2版本(支持python3)开源仓库: https://github.com/kevoreilly/CAPEv2
这是官方文档: Introduction — CAPE Sandbox v2.2 Book (capev2.readthedocs.io)