„VirusTotal“ ir „Jotti“: išsamus palyginimas ir realios alternatyvos

Informatec Digital » Ištekliai » „VirusTotal“ ir „Jotti“: išsamus palyginimas ir realios alternatyvos

Kai mes kalbame apie analizuoti įtartinus failus dėl kenkėjiškų programųPokalbiuose visada iškyla du vardai: „VirusTotal“ ir „Jotti“. Tai patyrusios paslaugos, plačiai naudojamos tiek namų vartotojų, tiek saugumo technikų ir analitikų, kuriems reikia greitos antros nuomonės apie iš interneto atsisiųstą arba el. paštu gautą failą.

Tačiau, nors iš pirmo žvilgsnio jie gali atrodyti beveik identiški įrankiaiRealybė tokia, kad antivirusinės programos, nuskaitymo tipai, maksimalus failų dydis, ataskaitų detalumo lygis ir net paslaugos veikimo principas (pažangesnis ar paprastesnis) gerokai skiriasi. Be to, ekosistema išaugo ir šiandien yra daug alternatyvų, kurias verta ištirti, kad būtų išvengta priklausomybės nuo vienos platformos.

Kodėl internetiniai skaitytuvai vis dar naudingi

Tokiose sistemose kaip „Windows“, turint Įdiegta ir atnaujinta nuolatinė antivirusinė programa Tai ne pasirinktinai, o būtina. Tiesą sakant, pati „Microsoft“ integruoja „Windows Defender“ į sistemą, kuri siūlo pagrindinę apsaugą realiuoju laiku be jokių tolesnių mūsų veiksmų.

Nepaisant to, daugelis vartotojų vis dar nepasitiki „Windows Defender“ ir renkasi ją. trečiųjų šalių saugumo sprendimai iš žinomų prekių ženklų, kurie rinkoje yra jau daugelį metų. Ši pagrindinė antivirusinė programa paprastai stebi kompiuterį fone, tačiau ne visada norime įdiegti kitą programą vien tam, kad patikrintume konkretų failą.

Kasdieniame gyvenime labai praktiška turėti galimybę atlikti Vieno ar kelių failų analizė pagal poreikį tiesiogiai iš naršyklėsbe diegimo ir neliečiant sistemos nustatymų. Čia praverčia tokios paslaugos kaip „VirusTotal“ ar „Jotti“, leidžiančios įkelti failą ir vienu metu patikrinti jį keliose antivirusinėse sistemose.

Be suplanuotų antivirusinės programos nuskaitymų, patartina periodiškai atlikti nuskaitymą. išsamesnis kompiuterio patikrinimasTačiau kai nerimaujame dėl konkretaus failo (priedo, atsisiųsto vykdomojo failo, abejotino dokumento), šie internetiniai skaitytuvai siūlo greitą ir labai patogią antrąją nuomonę.

Kas yra „VirusTotal“ ir kaip jis veikia?

Bėgant metams, „VirusTotal“ tapo pasaulinė nuoroda failų ir URL analizėje Iš žiniatinklio. Jis priklauso „Google“ ekosistemai ir integruojasi į visų rūšių darbo eigas: nuo vartotojų, įkeliančių vieną failą, iki SOC komandų, automatizuojančių užklausas per API.

Didžiausias „VirusTotal“ privalumas yra tas, kad Jame yra daugiau nei 70 antivirusinių variklių ir saugos įrankių pateiktam elementui analizuoti. Tai reiškia, kad jis neapsiriboja vienu sprendimu, o testuoja failą, URL, domeną arba IP adresą, naudodamas įvairias nepriklausomas technologijas, kad padidintų aptikimo tikimybę.

Vartotojui procesas labai paprastas: tiesiog įkelkite failą arba įklijuokite URL, domenas, IP arba maišos kodasPalaukite kelias sekundes ir peržiūrėkite išsamią ataskaitą, kurioje rodoma, kurie varikliai pažymi jį kaip kenkėjišką, kurie laiko jį švariu ir kokio tipo grėsmė, jei tokia yra, buvo aptikta.

Dar viena labai galinga savybė yra ta, didžiulė istorinių pavyzdžių duomenų bazė„VirusTotal“ saugo ir tvarko analizuojamus failus, leisdama peržiūrėti senus pavyzdžius ir pamatyti, kaip vystėsi aptikimai ir kokia papildoma informacija buvo sugeneruota laikui bėgant.

Platformoje taip pat yra labai aktyvi bendruomenė kuri komentuoja, žymi ir praturtina pavyzdžius kontekstu: kenkėjiškų programų šeimomis, žinomomis kampanijomis, susijusiais indikatoriais ir kt. Šis bendradarbiavimo aspektas suteikia ataskaitoms didžiulę papildomą vertę.

Trūkumas yra tas, kad nemokama versija turi failo dydžio apribojimai kurį galima įkelti ir naudoti API. Kitas jautrus klausimas yra privatumas: daugelis vartotojų nesijaučia patogiai įkeliant jautrius failus žinant, kad jais galima dalytis su bendruomene ir apsaugos įmonėmis.

Kas yra „Jotti“ ir kuo jis skiriasi nuo „VirusTotal“?

„Jotti“ kenkėjiškų programų nuskaitymas yra daug paprastesnė žiniatinklio paslauga, skirta tiems, kurie nori greitai patikrinti failą Nesudėtinant visko. Koncepcija panaši: įkeliate failą ir jį lygiagrečiai analizuoja keli antivirusiniai varikliai.

Remiantis pačios tarnybos informacija, „Jotti“ leidžia Įkelkite iki 5 failų vienu metuNaujausioje konfigūracijoje maksimalus failo dydis yra 250 MB (kai kuriuose senesniuose palyginimuose buvo minima 20 MB, tačiau dabartinė riba yra žymiai didesnė), todėl ji praktiška vidutinio dydžio dokumentams, vykdomiesiems failams ar glaudinimo programoms.

Variklių skaičius yra žymiai mažesnis nei „VirusTotal“: „Jotti“ veikia su nuo 15 iki 20 skirtingų antivirusinių programųkuri praktiškai vis dar yra gera „antroji nuomonė“, bet akivaizdžiai siūlo mažiau įvairovės nei daugiau nei 70 iš „VirusTotal“.

Vienas iš jos privalumų yra sąsaja: „Jotti“ išsiskiria tuo, kad Labai aiškus ir tiesus pateikimasIdealiai tinka netechniniams vartotojams, kurie tiesiog nori sužinoti, ar failas „kvepia įtartinai“, ar ne. Ataskaita yra trumpesnė ir paprastesnė nei „VirusTotal“.

Tačiau paslauga skirta tik analizuoti palaidus failusTai neleidžia nuskaityti URL, domenų ar IP adresų – tai yra kasdienės „VirusTotal“ rutinos dalis analitikams ir administratoriams.

Pati tarnyba įspėja, kad net jei ji naudos kelis variklius, Nėra 100% apsaugosBe to, visi pateikti failai bendrinami su dalyvaujančiomis antivirusinėmis įmonėmis, siekiant patobulinti jų parašus ir aptikimo mechanizmus – tai reikėtų apsvarstyti, jei tvarkote itin slaptą turinį.

„VirusTotal“ ir „Jotti“ panašumai

Vidutinio vartotojo požiūriu, „VirusTotal“ ir „Jotti“ turi keletą bendrų pagrindinių savybių, kurios paaiškina, kodėl jie dažnai minimi kartu, kai kalbama apie internetiniai kenkėjiškų programų skaitytuvai.

Visų pirma, abu yra nemokamos paslaugos, pasiekiamos iš jūsų naršyklėsNorint naudoti pagrindinius dalykus, nereikia kurti paskyros ir diegti papildomos programinės įrangos. Tiesiog apsilankykite svetainėje, pasirinkite failą ir palaukite rezultato.

Abu jie pagrįsti idėja, naudoti kelis antivirusinius variklius vienu metu siekiant padidinti grėsmių aptikimo tikimybę. Užuot pasikliauję vieno tiekėjo nuomone, jie siūlo savotišką „balsavimą“ tarp kelių variklių.

Jie taip pat sutinka, kad yra pareikalavimo analizės įrankiaiJie nepakeičia darbalaukio antivirusinės programinės įrangos. Jie neužtikrina apsaugos realiuoju laiku, neblokuoja atsisiuntimų ir nestebi procesų; jie nuskaito tik tai, ką jiems siunčiate rankiniu būdu.

Ir „VirusTotal“, ir „Jotti“ siūlė arba toliau siūlo darbalaukio klientai Kad būtų lengviau siųsti failus neatidarant naršyklės, tai naudinga tiems, kurie dažnai analizuoja failus ir nenori kiekvieną kartą kartoti to paties rankinio proceso.

Pagrindiniai skirtumai: Kur laimi „VirusTotal“, o kur įtikinamesnis yra „Jotti“?

Nors koncepcija panaši, lyginant „VirusTotal“ ir „Jotti“, pastebimi svarbūs skirtumai varikliuose, analizės parinktyse ir detalumo lygyje, todėl kiekvienas iš jų labiau tinka tam tikro tipo vartotojams.

Pirmasis esminis skirtumas slypi tame, antivirusinių variklių skaičius ir įvairovėLyginamieji testai parodė, kad „Jotti“ naudojo apie 19 variklių, o „VirusTotal“ – 40, 50 ar daugiau, priklausomai nuo eros, įskaitant populiarius sprendimus, tokius kaip „McAfee“, „Symantec“ ar „Trend Micro“, kurių „Jotti“ neįdiegia.

Kita sritis, kurioje „VirusTotal“ turi pranašumą, yra nuskaitymo parinktysTai neapsiriboja failais: ji taip pat leidžia analizuoti URL, domenus, IP adresus, maišos kodus ir netgi išgauti elgsenos informaciją, kuri labai naudinga tikrinant nuorodas prieš jas atsisiunčiant. lankytis potencialiai pavojingose ​​svetainėse.

Kalbant apie paties ryšio saugumą, „VirusTotal“ siūlo failų įkėlimas naudojant SSL šifruoti perdavimą analizės metu. „Jotti“ daugelyje savo etapų neturėjo tokio lygio matomų parinkčių, o tai gali neraminti vartotojus, kurie labai saugo įkeliamų duomenų konfidencialumą.

Kita vertus, Jotti pelno taškų būtent dėl ​​savo paprastumas ir aiškumasJis neapkrauna jūsų daugybe skirtukų, indikatorių ar išplėstinių metrikų; jis sutelkia dėmesį į tai, kurie varikliai žymi failą kaip įtartiną, ir mažai ką kita, ką daugelis įvertins, jei nori tik greito atsakymo.

Įvairios lyginamosios analizės paprastai daro išvadą, kad jei tai, ko ieškote, yra maksimalus padengimas ir universalumas„VirusTotal“ laimi didele persvara. Kita vertus, „Jotti“ yra gerai pozicionuojama kaip papildoma paslauga, greita antroji nuomonė po „VirusTotal“ naudojimo arba vietinės antivirusinės programos panaudojimo.

„VirusTotal“ po integracijos į „Google Threat Intelligence“

Pastaraisiais metais pasikeitė situacija profesionaliems „VirusTotal“ naudotojams, nes paslauga vis labiau integruojama į... „Google“ grėsmių žvalgyba (GTI), „Google“ įmonėms skirtų kibernetinės žvalgybos produktų linija.

Dėl šios integracijos daugelis funkcijų, kurios anksčiau buvo prieinamos laisvas arba vidutinis lygis Jie perėjo prie didesnių mokėjimo modelių, o įvairūs specialistai specializuotuose forumuose komentavo reikšmingą kainų padidėjimą už išplėstinę prieigą prie duomenų ir ataskaitų.

Šis pokytis įvyksta itin jautriu momentu, kai nuolat didėja pažeidžiamumai ir grėsmėsGrėsmių žvalgybos ataskaitose apskaičiuota, kad, palyginti su ankstesniais metais, atskleistų CVE atvejų padaugėjo daugiau nei 15 %, todėl reikia daugiau duomenų, daugiau konteksto ir daugiau automatizavimo.

Daugeliui kibernetinio saugumo komandų, grėsmių medžiotojų ir SOC prieglobstį randa tik bendruomenės įkėlimai ir antivirusinių programų aptikimas „VirusTotal“ sistemoje to nebepakanka ir ne visada ekonomiškai naudinga, jei norite giliau pasinerti naudodami pažangias API.

Visa tai paskatino paieškas praktinės ir viena kitą papildančios alternatyvos kurie atitinka grėsmių žvalgybos poreikius, indikatorių koreliaciją ir automatizavimą, tačiau nėra 100 % priklausomi nuo „VirusTotal“ / „GTI“ ekosistemos.

Galingos „VirusTotal“ alternatyvos (pralenkiančios „Jotti“)

Nors „Jotti“ yra įdomi alternatyva retkarčiais naudojamam naudojimui, yra daugybė kitų variantų. platformos, apimančios konkrečius aspektus Verta apsvarstyti kenkėjiškų programų analizę, pavyzdžių bendrinimą, IP reputaciją ar kenkėjiškos infrastruktūros žemėlapių sudarymą.

„Metadefender“ debesis (OPSWAT)

„Metadefender Cloud“ – tai „OPSWAT“ debesijos sprendimas, kuris ne tik siūlo „VirusTotal“ stiliaus kelių variklių analizėtačiau prideda papildomų į prevenciją orientuotų sluoksnių, tokių kaip dezinfekcija ir bylų valymas.

Paslauga leidžia nuskaityti failai, URL, IP adresai ir maišos Turint daugiau nei 20–30 antivirusinių variklių, ieškančių tiek žinomų grėsmių, tiek įtartino elgesio, idėja yra maksimaliai padidinti aptikimą derinant skirtingas technologijas.

Jo pagrindinis bruožas yra Turinio išardymas ir rekonstrukcija (CDR)Jis paima failą, pašalina potencialiai pavojingas dalis (makrokomandas, scenarijus, įterptąjį turinį) ir sukuria tinkamą naudoti „švarią“ versiją, net tais atvejais, kai kenkėjiška programa dar nebuvo aiškiai identifikuota.

„Metadefender Cloud“ taip pat siūlo failų pažeidžiamumų nuskaitymasPavyzdžiui, aptikdami pasenusias bibliotekas arba komponentus su žinomais pažeidžiamumais, tai suteikia papildomą saugumo sluoksnį paprastai antivirusinei analizei.

Dėl API ir integracijų tai geras pasirinkimas organizacijos, norinčios automatizuoti sanitariją gaunamų failų (el. laiškų, klientų portalų, vidinių perdavimų) apdorojimą prieš jiems pasiekiant galutinį vartotoją.

„Jotti“ kenkėjiškų programų nuskaitymas kaip paprasta alternatyva

Be tiesioginio palyginimo su „VirusTotal“, „Jotti“ išlieka puikiu turtu greitas ir nemokamas nuskaitymas namų aplinkoje arba mažose įmonėse, kurioms nereikia didelių diegimų.

Pagrindinis jo patrauklumas yra naudojimas keli antivirusiniai varikliai veikia lygiagrečiaiTai pagerina aptikimo rodiklį, palyginti su aklu pasikliovimu vienu darbalaukio produktu, ir gali atskleisti grėsmes, kurių viena paieškos sistema nepastebėtų.

Jo dydžio riba (šiuo metu iki 250 MB vienam failui ir galimybė siųsti 5 vienu metuDėl to jis yra praktiškas daugeliui įprastų atvejų, pradedant diegimo programomis ir baigiant suspaustais failais ar gana dideliais dokumentais.

Sąsajos dizainas yra labai minimalistinis, su paprastas skydelis be jokių išplėstinių parinkčių tai gali būti painu. Tai idealiai tinka tiems, kurie nori įkelti failą, peržiūrėti paieškos sistemų sąrašą ir greitai nuspręsti, ar pasitiki tuo failu.

Analitikams ar pažengusiems vartotojams „Jotti“ puikiai tinka antras arba trečias patvirtinimo šaltinis po „VirusTotal“, ypač procesuose, kuriuose norite palyginti skirtingų internetinių paslaugų rezultatus.

VirSCAN.org

„VirSCAN.org“ yra dar vienas klasikinis šios srities pavyzdys. kelių antivirusinių programų skaitytuvai interneteTai leidžia įkelti failus ir patikrinti juos naudojant kelis skirtingų gamintojų variklius, pateikiant galimų infekcijų skerspjūvio vaizdą.

Ilgą laiką jis sugebėjo 20 MB riba vienam failuiTai yra šiek tiek konservatyvesni skaičiai nei dabartiniai Jotti skaičiai, tačiau pakanka daugumai vykdomųjų failų ir „Office“ dokumentų, dažniausiai naudojamų analizės scenarijuose.

Jų požiūris panašus: eik aukštyn, lauk rezultato ir... patikrinkite, kurie varikliai ką aptinkaJame mažiau dėmesio skiriama itin paprastam naudojimui, o daugiau – funkcionaliai ir nemokamai paslaugai, naudingai antrai nuomonei gauti.

Intezer analizė

„Intezer Analyze“ pateikia naują požiūrį į tradicinį požiūrį ir sutelkia dėmesį į tai, ką jie vadina „Genetinio kodo analizė“Užuot pasikliavęs vien antivirusinių programų nuskaitymais, jis suskaido failą ir lygina kodo fragmentus su didžiulėmis kenkėjiškų programų ir teisėtos programinės įrangos duomenų bazėmis.

Tokiu būdu jis gali aptikti kodo pakartotinį naudojimą skirtingose ​​kenkėjiškų programų šeimose, pamatyti panašumus su ankstesniais pavyzdžiais ir grupuoti pavyzdžius pagal linijas, o tai yra nepaprastai naudinga tyrėjams ir žvalgybos komandoms.

„Intezer“ ataskaitose pateikiama kontekstas apie galimą kodo kilmękurios dalys yra naujos, kurios paimtos iš kitų Trojos arklių ar įrankių ir kaip imtis atitinka žinomas kampanijas, taip palengvinant priskyrimo darbą.

Be to, jis gerai integruojasi per API, skirtos automatizuoti pateikimus ir koreliacijasTodėl tai yra galinga alternatyva verslo ir mokslinių tyrimų aplinkoms, norinčioms peržengti įprastą „užsikrėtęs / neužsikrėtęs“ ribą.

„AlienVault“ (mėlynas lygis)

„AlienVault“, dabar priklausanti „Level Blue“ prekės ženklui, yra ne tik kenkėjiškų programų analizės įrankis, bet ir... vieninga saugumo platforma kuris sujungia kelias galimybes į vieną produktą.

Jų pasiūlymas sukasi apie tai, Vieningas saugumo valdymas (USM)Apjungiant SIEM, išteklių aptikimą, pažeidžiamumų skenavimą ir IDS, taip pat kenkėjiškų programų aptikimą ir įvykių koreliaciją.

Viena iš pagrindinių „AlienVault“ savybių yra ta, kad bendradarbiaujanti grėsmių žvalgyba, kurią teikia bendruomenė ir komerciniai šaltiniai, ir kuri nuolat atnaujinama, siekiant nustatyti įtartiną elgesį ir vykdomas kampanijas.

Dėl savo API ir galimybės integruotis su kitais sprendimais, tai patraukli alternatyva organizacijos, norinčios kenkėjiškas programas laikyti tik dar viena dėlionės dalimi visavertėje saugumo sistemoje, o ne kaip kažkas izoliuoto.

MalwareBazar

„MalwareBazar“, kurią teikia abuse.ch ir „Spamhaus“, yra bendradarbiavimo platforma kenkėjiškų programų pavyzdžiams bendrinti ir atsisiųstiJis labai orientuotas į tyrėjus, apsaugos įrangos gamintojus ir komandas, kurioms reikia naujos medžiagos analizėms.

Vienas iš jos pranašumų, palyginti su kitomis platformomis, yra tai, kad Tai pašalina daugelį kliūčių patekti į rinką.Nėra jokių sudėtingų registracijos reikalavimų ar pernelyg griežtų atsisiuntimo apribojimų, todėl kasdienis tyrimas tampa sklandesnis.

Platforma daugiausia dėmesio skiria tikriems pavyzdžiams, vengdama gerybiniai failai, reklaminės programos arba potencialiai nepageidaujamos programos siekiant maksimaliai padidinti bendrinamos informacijos vertę. Tai padeda tiems, kurie analizuoja kenkėjiškų programų šeimas, botnetus ar konkrečias kampanijas.

„MalwareBazar“ siūlo API, kuri leidžia automatizuoti pavyzdžių atsisiuntimą ir integravimą analizės srautuose, smėlio dėžės aplinkoje arba žvalgybos praturtinime, taip pat integracijose su SIEM ir kitais sprendimais.

Medžioklė.io

Hunt.io labiau orientuotas į grėsmių paieška ir žvalgyba kenkėjiškoje infrastruktūroje o ne pačių failų analizė. Dėmesys sutelktas į domenus, IP adresus ir maišos kodus bei jų tarpusavio ryšį.

Vienas iš jo pagrindinių bruožų yra C2 infrastruktūros tiekimas, kuri, atlikdama didelio masto interneto skenavimą, aktyviai identifikuoja ir patvirtina komandų ir valdymo serverius, kol jie dar nebuvo masiškai išnaudoti.

Platforma atlieka nuolatinis pažeidžiamų paslaugų stebėjimas, sertifikatus, HTTP antraštes ir kitus išoriškai matomus elementus, siekiant aptikti kenkėjiškų veikėjų naudojimo modelius.

Su tokiomis funkcijomis kaip IOC Hunter, tai leidžia pradedant nuo konkretaus rodiklio (domenas, IP, maišos kodas) ir ištirti susijusią infrastruktūrą: atvirus katalogus, bendrinamus sertifikatus, įtartinas antraštes ir kt.

OPSWAT „MetaDefender Cloud“ kaip medžioklės įrankis

Be savo, kaip kelių variklių skaitytuvo, galimybių, „MetaDefender Cloud“ yra gerai pozicionuota kaip grėsmių medžioklės įrankis integruojant duomenis iš kelių saugumo teikėjų, naudotojų atsiliepimus ir koreliacijos galimybes.

Platforma išnaudoja daugiau nei 20 antivirusinių variklių ir kitus analizės lygmenis, siekiant sumažinti klaidingai neigiamų rezultatų skaičių, pagerinti reagavimo laiką ir palengvinti įspėjimų prioritetizavimą įmonių aplinkoje.

Tai bendradarbiavimu grįstas metodas, kai vartotojai gali Failų, IP adresų ar domenų žymėjimas ir komentavimasTai leidžia nuolat tikslinti aptikimo algoritmus ir išlaikyti sistemą suderintą su naujausiomis grėsmėmis.

CAPE smėlio dėžė

„CAPE Sandbox“ (CAPEv2) yra ankstesnių projektų, tokių kaip „Cuckoo Sandbox“, evoliucija ir tapo... Labai galingas įrankis dinaminei kenkėjiškų programų analizei, idealiai tinka laboratorijoms ir reagavimo komandoms.

Didžiausia jo stiprybė slypi derinyje statinė ir dinaminė analizė išgauti vidines konfigūracijas, išpakuoti paslėptus naudingus krovinius ir atrasti apėjimo metodus, kurie dažnai lieka nepastebėti atliekant grynai statinę analizę.

CAPEv2 gali stebėti API iškvietimai, tinklo srautas, failų sistemos pakeitimai ir atmintisgeneruojant labai išsamias ataskaitas apie kenkėjiškos programos elgesį vykdymo metu.

Taip pat yra valymo sistema, valdoma YARA taisyklės ir kiti mechanizmaikuris padeda susidurti su mėginiais taikant anti-smėlio dėžės metodus arba pažangesnius maskavimo bandymus.

AbuseIPDB

„AbuseIPDB“ yra bendradarbiaujanti duomenų bazė, IP adreso reputacija kuri renka pranešimus apie kenkėjišką veiklą, kuriuos pateikia vartotojai, įmonės ir automatinės paslaugos iš viso pasaulio.

Bet kuris asmuo ar sistema gali Pranešti apie IP adresus, kurie vykdo atakas„brute force“ bandymai, šlamštas, piktnaudžiavimas nuskaitymais ar kitas įtartinas elgesys, prisidedantis prie duomenų bazės kokybės gerinimo.

Toks bendruomeninis metodas užtikrina, kad duomenų bazė išliktų labai gerai informuota apie realią kenkėjišką veiklą, neapsiriboja paprastais, laboratorijoje sukurtais statiniais sąrašais, todėl yra vertingas blokuojant arba filtruojant gaunamą srautą.

API leidžia lengvai integruoti šią reputacijos informaciją į ugniasienės, SIEM, WAF arba nuosavi scenarijaikad blokavimo ar įspėjimo sprendimus būtų galima paremti praturtintais duomenimis apie kiekvieno IP adreso istoriją.

Atsižvelgiant į visa tai, kas išdėstyta pirmiau, „VirusTotal“ ir „Jotti“ išlieka dviem labai naudingomis priemonėmis, skirtomis konkrečiai failų analizei, tačiau jos tinka daug platesniam kontekstui, kuriame kelių variklių skaitytuvai, pavyzdžių bendrinimo platformos, pažangios smėlio dėžės ir kenkėjiškos infrastruktūros žvalgyba viena kitą papildo ir pateikia daug išsamesnį ir veiksmingesnį dabartinių grėsmių vaizdą.