这里帮助您回答关于样本提交及其它使用本网站服务的问题。我们将常见的用户使用过程中碰到的问题总结出来供您参考。了解魔盾安全分析所使用的技术细节,请访问技术文档。如还有疑问,请联系: contact@maldun.com。

直接浏览您感兴趣的部分:

如何提交文件样本
如何提交URL链接
如何搜索分析结果
如何获取分析报告
如何理解魔盾安全分数
如何使用魔盾安全分析报告
其它问题

如何提交文件样本

提交文件样本的步骤?

用户可以在魔盾安全分析主页的提交分析标签中选择 上传文件 ,或在网站主页上点击 分析可疑文件 按钮。普通用户可以在文件分析页面点击 选择文件 在用户电脑中选择所需要分析的文件进行上传,之后点击 开始分析 。如果任务提交成功,文件分析任务将会被执行,您可以在线等待,我们会将分析任务执行情况随时反馈给您。登录用户可以在 我的分析 页面查询提交任务的状态。如果任务提交失败,我们会返回提交失败原因,您可以尝试重新提交。

如何使用文件提交高级选项?

登录用户在提交文件分析时可以使用 高级选项 。用户点击 高级选项 后文件分析提交页面会为用户提供自定义选择: 分析软件包 (缺省为自动检测), 选择虚拟机 超时/秒 (任务超时退出设定,单位为秒, 缺省为120秒,设置时间须在60秒到300秒之间。), 优先级 (缺省为低)。用户还可以定义任务执行时: 无虚拟机程序注入 (系统将不会在虚拟机中执行这个文件,只提供静态的文件信息), 禁用自动交互 (系统将不会自动与虚拟机中执行的文件进行交互,如模拟用户行为,点击确认或下一步等), 执行超时 (强制执行虚拟机超时退出,适用于您对任务分析时间有严格的要求时), 不公开文件及分析结果 (该分析任务包括文件样本本身将被设置为隐私,不会被其他用户看到)。

用户提交的文件样本大小有限制吗?

为了优化魔盾安全的分析性能,我们目前将用户提交的样本大小上限设置为10MB,10MB以上的文件暂时不会被魔盾安全分析所接受。

魔盾安全分析支持哪些类型的文件?

魔盾安全分析支持大多数常见的二进制文件类型,包括诸如Windows可执行文件,文本文件,数据文件,PDF,图片,javascript代码等 (包括但不限于applet, dll, eml, html, js, msi, ppt, python, regsvr, vbs, zip, bin, cpl, doc, exe, generic, msg, pdf, ps1, rar, swf, xls等)。可以支持分析的文件类型还在不断扩充中。

魔盾安全分析支持哪些虚拟机系统的沙盒分析?

魔盾安全分析目前支持在国内常用的Windows 7和Windows XP系统中对样本文件进行虚拟执行。

可以上传打包/压缩过的文件进行分析吗?

当然可以。魔盾安全分析可以自动从ZIP, RAR, RFC2822标准邮件 (.eml), 和Outlook .msg 压缩文件中解包提取解压后的文件。

上传的样本已经存在魔盾安全分析报告怎么办?

当用户提交的样本已经存在于魔盾安全分析样本库中时(用户提交的文件样本与魔盾安全分析样本库中的样本MD5值完全一样),为了避免不必要的资源损耗,节省用户的宝贵时间,魔盾安全分析会将该文件样本的历史分析报告呈现给用户。用户可以选择浏览或参考之前的魔盾安全分析报告,也可以选择重新对样本进行分析。

不想其他用户看到我提交的样本,或该样本生成的分析报告怎么办?

如果您不希望自己提交的样本以及生成的魔盾安全分析报告被其他人看到,您可以在提交样本时在 高级选项 中选择 不公开文件及分析结果 。请注意 高级选项 功能需要用户登录才能使用。

不小心上传了敏感文件或不适宜公开的文件怎么办?

魔盾安全分析非常重视您的隐私,我们会尽一切力量保护您的信息安全。如有需要请联系我们删除您上传的文件及分析结果。

如何提交URL链接

提交URL链接的步骤?

用户可以在魔盾安全分析主页的提交分析标签中选择 提交URL ,或在网站主页上点击 分析URL链接 按钮。普通用户可以直接在URL输入框中输入或粘贴需要分析的网页链接URL,之后点击 开始分析 。如果任务提交成功,URL分析任务将会被执行,您可以在线等待,我们会将分析任务执行情况随时反馈给您。登录用户可以在 我的分析 页面查询提交任务的状态。如果任务提交失败,我们会返回提交失败原因,您可以尝试重新提交。

如何使用URL提交高级选项?

登录用户在提交文件分析时可以使用 高级选项 。用户点击 高级选项 后URL分析提交页面会为用户提供自定义选择: 分析浏览器 (缺省为ie), 选择虚拟机 超时/秒 (任务超时退出设定,单位为秒, 缺省为120秒,设置时间须在60秒到300秒之间。), 优先级 (缺省为低)。用户还可以定义任务执行时: 无虚拟机程序注入 (系统将不会在虚拟机中打开这个URL,只提供静态的URL信息), 禁用自动交互 (系统将不会自动与虚拟机中执行的进程进行交互,如模拟用户行为,点击确认或下一步等), 执行超时 (强制执行虚拟机超时退出,适用于您对任务分析时间有严格的要求时), 不公开URL及分析结果 (该分析任务包括URL本身将被设置为隐私,不会被其他用户看到)。

魔盾安全分析支持在哪些浏览器中分析URL?

魔盾安全分析目前支持在IE浏览器中对URL链接进行分析。

上传的URL已经存在魔盾安全分析报告怎么办?

当用户提交的URL链接已经存在于魔盾安全分析样本库中时(用户提交的URL与魔盾安全分析样本库中的URL完全一样),为了避免不必要的资源损耗,节省用户的宝贵时间,魔盾安全分析会将该URL链接的历史分析报告呈现给用户。用户可以选择浏览或参考之前的魔盾安全分析报告,也可以选择重新对URL进行分析。

如何搜索分析结果

搜索分析结果的步骤?

魔盾安全分析目前只开放分析结果搜索功能给登录用户。登录用户可以在网站主页上点击 搜索 标签。用户可以直接通过文件的哈希值(MD5, SHA1, SHA256, 或SHA512)搜索魔盾安全分析已经存在的分析。搜索结果会包含符合搜索条件的分析,以及相关信息,魔盾分数,状态等。用户可以点击结果中的 目标/MD5 浏览该分析报告。

魔盾安全分析提供更强大的高级搜索功能供用户使用。在搜索页面,用户可以点击 高级搜索 , 通过搜索前缀加搜索关键词对魔盾安全分析结果进行搜索。请注意搜索MD5, SHA1, SHA256, 或 SHA512, 不需要加入前缀,而搜索其他关键词(包括URL)一定要加入前缀才能搜索。

如何获取分析报告

在线提交了样本之后,如何找到生成的分析报告?

用户提交样本成功后,会进入到提交成功页面。每一个提交的任务会生成一个任务ID,用户可以在提交成功页面通过点击任务ID进入任务分析状态页面。在分析任务状态页面我们会把该任务的分析状态返回给用户。通常情况下任务状态有:队列中(表示该任务正在队列中等待分析),分析中(表示分析任务正在运行中,虚拟机正在执行该样本),分析结果处理中(任务分析已完成,正在生成魔盾安全分析报告),和已生成分析报告(魔盾安全分析报告已经生成,可供用户读取)。任务状态页面每30秒会自动刷新一次,当分析任务执行完成,分析报告已生成时,页面会直接载入该任务的魔盾安全分析报告。

用户如何找到自己提交过的样本对应的分析结果?

登陆用户可以随时在任何页面点击自己的用户名,并在下拉菜单中选择 我的分析 标签,该页面会列出该用户所有的样本提交记录,用户可以点击任意记录的 分析目标 浏览该任务的详细分析报告。

如何查看最近的魔盾安全分析报告?

用户可以点击 分析结果 标签浏览最近的魔盾安全分析报告。请注意页面包含 文件 URLs 两个标签,对应不同类型的样本的分析结果。在分析结果页面,您可以看到样本分析的基本信息和魔盾安全分数等。用户可以点击样本的 MD5 查看该样本的详细分析报告。

如何理解魔盾安全分数

魔盾安全分数是如何产生的?

魔盾安全分数是我们通过对用户样本的分析而产生的一个安全参考分数。魔盾安全分数的生成通常参考了样本在静态和动态分析当中所呈现出来的符合恶意软件行为的特征,及这些特征的重要程度和危害性等。魔盾安全分数在0到10的范围内。分数越小代表符合恶意软件的特征越少或危害越小,而分数越大代表符合恶意软件的特征越多或危害越大。

如何理解魔盾安全分数?

魔盾安全分数通常代表了样本可能的危害程度或样本为恶意软件/恶意链接的概率。魔盾安全分数在0到2分范围内的(绿色标记),我们通常认为该样本为正常的或安全的;魔盾安全分数在2分到6分的范围内的(黄色标记),我们通常认为该样本有一定的风险(对用户系统有一定的侵犯性或危害),建议用户注意;魔盾安全分数在6分到10分范围内的(红色标记),我们通常认为该样本是可疑的或恶意的(携带病毒,具有攻击性,或被用来传播恶意软件),建议用户加强防范。需要注意的是即使魔盾安全分数很低,也并不代表这个文件或链接肯定不是或不包含新的恶意软件或变种。同样当魔盾安全分数较高时,也并不代表该文件或链接一定有安全隐患,因为我们的安全规则并不一定100%准确,可能存在错误报警。请自行承担使用魔盾安全分析的风险。另外需要注意的是,我们的恶意软件特征侦测规则在不断的增加和更新中,对应的分数也可能会有变化,因此同一文件不同时间的分析结果可能产生不同的分数。此外,同一样本文件在不同的系统环境中行为可能不同,对应的魔盾安全分数也可能不同。

什么是病毒类型?

对于一些已知的病毒类型,我们在给出魔盾安全分数的同时,也会注明该样本所可能对应的病毒类型,以帮助用户快速了解该样本可能的病毒分类。同样,我们所提供的病毒种类只作为参考,我们并不保证100%准确。

如何使用魔盾安全分析报告

魔盾安全分析报告提供哪些信息?

魔盾安全分析报告提供了详尽的信息供用户参考。分析报告概要页面包含了分析任务信息,魔盾安全分数信息,分析机器信息,文件详细信息,特征汇总,样本运行截图,样本网络访问主机记录,样本网络域名解析记录,样本行为摘要等。并提供文件样本下载的功能。用户可以点击 静态分析 行为分析 网络分析 标签进一步了解该样本细节的分析记录。 静态分析 包含了静态文件分析,字符串信息(String),杀毒软件扫描信息等。 行为分析 包含了样本所产生的进程(树)与系统的交互记录,用户可以对具体的进程和线程记录进行搜索。 网络分析 包含了样本的网络行为特征,用户也可以下载魔盾安全分析时截取的PCAP包进行后续的分析。用户可以点击 投放文件 标签浏览样本执行过程中与系统交互时释放或生成的文件,以及文件的分析信息。用户也可以下载每一个投放的文件。 相似分析 页面通过对魔盾安全分析结果的Malheur相似性分析聚合了可能与该样本相似的其他样本分析结果,方便用户对样本类型或病毒类型进行鉴别。

魔盾安全分析报告中的特征是什么?

魔盾安全分析报告中列出了在对用户提交样本进行分析时监测到的一些特征,这些特征通常是恶意软件所具有的特点或恶意软件运行时的行为。我们将这些可疑的特征列举出来,用户可以点击特征了解更详细的信息,例如具体是该样本分析中的哪些行为符合该特征。我们的魔盾安全分数也是根据特征匹配,特征行为的风险和危害性来生成的。

如何下载生成的魔盾安全分析报告?

在魔盾安全分析报告中的 报告下载 页面,我们为用户提供了不同格式的分析报告下载,包括JSON,PDF,HTML,HTML概要等格式。需要注意的是,如果样本提交时设置了隐私选项(即不公开),出于安全考虑,该样本分生成的魔盾安全分析报告将不提供下载。

魔盾安全分析报告还提供哪些功能?

我们还为每一个样本的分析报告提供了评论功能,用户可以在魔盾安全分析报告中的 评论 页面对该样本或该分析报告的任何内容进行评论和发表意见或建议。此外魔盾安全分析报告提供了比较分析的功能,用户可以点击 比较分析 的按钮对同一文件的多次分析结果进行比较。

其它问题

魔盾安全分析提供API吗?

我们目前暂未开放API的使用。但我们会尽快逐步开放API功能,使用户能更便捷的提交样本和取得分析报告。

如何得到魔盾安全分析的数据?

如果您需要大量使用魔盾安全分析的数据,请与我们取得联系。

魔盾安全分析和传统的防病毒软件有什么区别?

与传统的防病毒软件扫描不同的是,魔盾安全分析并不完全依赖与已知病毒的特征或IDE,而是运用了静态和动态扫描结合的技术,在虚拟环境中实际运行文件或URL样本,从而对其状态和行为进行分析,并得出分析结果。魔盾安全分析通常会先于传统防病毒软件检测到新的病毒爆发。但是魔盾安全分析依然有其局限性。例如对于虚拟环境的运用和与实际环境的细微区别等。

魔盾安全分析是否能取代传统的防病毒软件?

魔盾安全分析在目前并不能取代传统防病毒软件的作用,实际上因此我们也将传统防病毒软件的扫描结果集成在魔盾安全分析报告中供用户参考。我们希望用户能够得到尽可能详尽的信息从而帮助用户了解恶意软件及其危害。

有的文件样本或URL肯定为恶意,或包含病毒,为什么会被魔盾安全分析结果认定为正常的?如何投诉漏报?

如果您认为样本或URL为恶意,而魔盾安全分析并没有检测出异常,请在评论页面提交您的看法或意见,我们会不断更新我们的系统和规则。

有的文件样本或URL并不包含恶意软件,为什么会被分析结果认定为可疑或危险的?如何投诉误报?

魔盾安全分析只是对该文件样本或URL的静态和动态行为特征进行分析评分。某些行为特征可能会产生误判(例如通常为恶意软件的行为特征,但正常软件也可能使用)从而使得累加生成的最终分析结果产生错误。我们对可能会产生的误报感到抱歉,请在分析结果的评论页面给我们留言,或直接联系我们。