作甚@ZUOSHEN.COM

最近把能找到的在线Sandbox都介绍下。今天的是奥地利产品Anubis…由维也纳科技大学的安全系统实验室研发。

Anubis是古埃及的冥界与亡者之神…守护亡者是它的职责…我是在这找到的…

今儿介绍的这个服务目的则是守护你的电脑吧…同之前介绍的CWSandbox和Joebox类似，也是上传Windows可执行文件，然后自动生成该程序活动行为的报告。今儿早晨服务离线，暂时没法发个报告给大家看看～感兴趣的可以自己尝试。

Anubis与其他Sandbox相比的特点是什么呢？从图中看有Unobtrusive Analysis和Complete View of the PC System~

Unobtrusive Analysis从字面上看还真不好理解…其实就是说现在的有害程序具有探测它的运行环境是虚拟环境还是真实的PC环境的能力…如果它检测它身处”幻术”之中，它的行为会和真实PC环境中的有所不同，这样就影响了分析的准确性。而Anubis能够不让有害程序（轻易地）探测到分析环境从而让有害程序可以没有负担地有如在真实电脑环境中一样尽情展现自我=。=

Complete View of the PC System，按文中的意思就是这是衡量这项分析扩展度的东西。比如除了监控API Call之外，还能够监视CPU注册值或是追踪内存访问？结论是现在图中3个东西都做不到这样（不知道为什么打了勾了=。=）…但是下一代的有害程序分析工具肯定能够做到更多。尽管现在没有程序能够测试这项特性，但是”我们”通过现在各个分析工具公开的文档，可以找到这项特性的存在…就是说有没有潜力监控更多的东西吧～呵呵…

Anubis比Joebox在生成报告上多了个选择，就是可以选择直接显示报告而不是在邮箱里等着收～呵呵。不过Anubis支持的最大文件大小为2MB，比Joebox小了不少。同时如果是人工上传样本，输入下面那验证码的话，Anubis会在自动上传的样本前优先处理人工上传的。

通过这些工具，我们可以在保证安全的前提下，无需自己安装虚拟机等虚拟环境，安全地观察有害程序行为，这对大家提高应对有害程序的能力也很有好处哦～从使用HIPS的角度来看，我们也可以针对具体某个流行的病毒进行规则的修改与增减，提高系统的安全性。

上个月介绍了一个Sunbelt出品的CWSandbox，一直想找点类似的东西～毕竟就这一个能用的未免有点寒碜…

同CWSandbox类似，Joebox也是一个在线的Sandbox，顾名思义就是你上传文件它测试并生成程序行为报告的东西。用途？这玩意用途多了去了吧，最常用的就是看某个东西像病毒但是杀毒软件们都装看不见的时候…给它们上报的话有时候有些行为也并不认为是病毒…这个时候，靠自己吧。就算是我们没能力把已经受感染的电脑拯救出来，至少也能防止再吃亏～呵呵。

Joebox是个私人项目，从这点上我是非常喜欢～个人项目总会有一些独一无二的设计啊灵感啊什么的，灵活性高而且更新频繁～呵呵。从Joebox项目的新闻中可以看到，还是非常活跃的。

Joebox有什么特点呢：

• 模块化的设计与结构
• 基于XML的分析报告
• 100%完全网络通讯报告（嗯，这个好像其他服务不一定具备吧～）
• 无需其他仿真或虚拟软件
• 批量分析
• 可以分析exe,dll甚至sys文件
• 可扩展
• 高度可定制

详细 »

写这个其实是晚了N长时间了…但是考虑到大家都挺喜欢拿AV-Comparatives的测试结果测试的，那就说说吧…11月的这个测试是Retrospective/Proactive测试，也就是说，拿上次测试时（八月的）的病毒库和引擎来试11月的毒(根据PDF中的记录，除了Dr.Web，它使用了10月/11月的引擎，据说是为了修正它经常崩溃的问题）…由此，看看各个杀软应对未知病毒的能力…具体测试的术语等等可以参考我的另一篇文章。

这次由于是考验众杀软对未知病毒的反应，所以误报这个事儿自然也成了非常重要的一个考核内容…毕竟一个产品神经兮兮啥都乱报那和什么都没看见也差不多…只有高检出率+低误报率才是个适合用户使用的靠谱的东西…指望普通用户们分辨哪个是误报也太…以下图片均截图自11月测试的PDF报告，如果有感兴趣的朋友可以直接从AV-Comparatives查看完整版本。

详细 »