VirusTotal vs Jotti: isang kumpletong paghahambing at mga totoong alternatibo

Informatec Digital » Kayamanan » VirusTotal vs Jotti: isang kumpletong paghahambing at mga totoong alternatibo

Kapag makipag-usap namin tungkol sa suriin ang mga kahina-hinalang file para sa malwareDalawang pangalan ang laging nababanggit sa mga usapan: ang VirusTotal at Jotti. Ang mga ito ay mga beterano at serbisyo, na malawakang ginagamit ng mga gumagamit sa bahay, mga security technician, at analyst na nangangailangan ng mabilis na pangalawang opinyon sa isang file na na-download mula sa Internet o natanggap sa pamamagitan ng email.

Gayunpaman, kahit na sa unang tingin ay tila sila ay halos magkaparehong mga kagamitanAng katotohanan ay may mga makabuluhang pagkakaiba sa mga antivirus engine, mga uri ng pag-scan, maximum na laki ng file, antas ng detalye ng ulat, at maging ang pamamaraan ng serbisyo (mas advanced o mas simple). Bukod pa rito, lumago na ang ecosystem, at ngayon ay maraming alternatibo na dapat tuklasin upang maiwasan ang pag-asa sa iisang platform.

Bakit kapaki-pakinabang pa rin ang mga online scanner

Sa mga sistemang tulad ng Windows, ang pagkakaroon ng Naka-install at na-update ang resident antivirus Hindi ito opsyonal, ito ay isang pangangailangan. Sa katunayan, isinasama mismo ng Microsoft ang Windows Defender sa sistema, na nag-aalok ng pangunahing real-time na proteksyon nang walang anumang karagdagang aksyon na kinakailangan sa amin.

Gayunpaman, maraming gumagamit pa rin ang may kaunting tiwala sa Windows Defender at pinipili ang mga solusyon sa seguridad ng ikatlong partido mula sa mga kilalang tatak na matagal nang nasa merkado. Karaniwang minomonitor ng pangunahing antivirus na ito ang computer sa background, ngunit hindi natin laging gustong mag-install ng ibang programa para lang tingnan ang isang partikular na file.

Sa pang-araw-araw na buhay, napakapraktikal na makagawa ng Pagsusuri sa isa o higit pang mga file nang sabay-sabay direkta mula sa browsernang walang pag-install at nang hindi inaayos ang mga setting ng system. Dito pumapasok ang mga serbisyo tulad ng VirusTotal o Jotti, na nagbibigay-daan sa iyong mag-upload ng file at suriin ito laban sa ilang antivirus engine nang sabay-sabay.

Bukod sa mga naka-iskedyul na pag-scan ng antivirus, ipinapayong magsagawa ng pag-scan paminsan-minsan. mas masusing pagsusuri sa PCPero kapag ang ikinababahala natin ay isang partikular na file (isang attachment, isang na-download na executable, isang kaduda-dudang dokumento), ang mga online scanner na ito ay nag-aalok ng mabilis at napaka-maginhawang pangalawang opinyon.

Ano ang VirusTotal at paano ito gumagana?

Sa paglipas ng mga taon, ang VirusTotal ay naging ang sanggunian sa mundo sa pagsusuri ng file at URL Mula sa web. Ito ay kabilang sa ecosystem ng Google at isinasama sa lahat ng uri ng daloy ng trabaho: mula sa mga user na nag-a-upload ng isang file hanggang sa mga SOC team na nag-a-automate ng mga query sa pamamagitan ng API.

Ang pinakamalaking kalakasan ng VirusTotal ay Pinagsasama nito ang mahigit 70 antivirus engine at mga tool sa seguridad upang suriin ang isinumiteng aytem. Ibig sabihin, hindi ito limitado sa iisang solusyon, kundi sinusubukan nito ang file, URL, domain, o IP address laban sa malawak na hanay ng mga independiyenteng teknolohiya upang mapataas ang pagkakataong matukoy.

Para sa gumagamit, ang proseso ay napakasimple: i-upload lang ang file o i-paste ang URL, domain, IP o hashMaghintay ng ilang segundo at suriin ang isang detalyadong ulat na nagpapakita kung aling mga engine ang nagmamarka nito bilang malisyoso, alin ang itinuturing itong malinis, at kung anong uri ng banta, kung mayroon man, ang natukoy.

Isa pang napakalakas na katangian nito ay ang malaking makasaysayang database ng mga sampleIniimbak at inaayos ng VirusTotal ang mga nasuring file, na nagbibigay-daan sa iyong sumangguni sa mga lumang sample upang makita kung paano umunlad ang mga pagtuklas at kung anong karagdagang impormasyon ang nabuo sa paglipas ng panahon.

Nagtatampok din ang plataporma ng isang napaka-aktibong komunidad na nagkokomento, nagta-tag, at nagpapayaman sa mga sample gamit ang konteksto: mga pamilya ng malware, mga kilalang kampanya, mga kaugnay na tagapagpahiwatig, atbp. Ang aspetong ito ng pakikipagtulungan ay nagdaragdag ng napakalaking dagdag na halaga sa mga ulat.

Sa negatibong aspeto, ang libreng bersyon ay mayroon mga limitasyon sa laki ng file na maaaring i-upload at gamitin sa API. Isa pang sensitibong punto ay ang privacy: maraming user ang hindi komportable pag-upload ng mga sensitibong file alam na maaari itong ibahagi sa komunidad at sa mga kompanya ng seguridad.

Ano ang Jotti at paano ito naiiba sa VirusTotal?

Ang malware scan ng Jotti ay isang mas simpleng serbisyo sa web, na idinisenyo para sa mga nais mabilis na suriin ang isang file Nang hindi nagiging kumplikado ang mga bagay-bagay. Magkatulad ang konsepto: mag-a-upload ka ng isang file at susuriin ito gamit ang ilang antivirus engine nang sabay-sabay.

Ayon sa sariling impormasyon ng serbisyo, pinapayagan ng Jotti Mag-upload ng hanggang 5 file nang sabay-sabayDahil ang pinakamataas na laki ng file ay 250 MB sa pinakabagong configuration nito (binanggit ng ilang mas lumang paghahambing ang 20 MB, ngunit ang kasalukuyang limitasyon ay mas malaki), ginagawa itong praktikal para sa mga dokumentong katamtaman ang laki, mga executable, o mga programang pang-compression.

Ang bilang ng mga engine ay mas mababa nang malaki kaysa sa VirusTotal: Gumagana ang Jotti kasama ang sa pagitan ng 15 at 20 iba't ibang programa ng antivirusna sa pagsasagawa ay isa pa ring magandang "pangalawang opinyon", ngunit malinaw na nag-aalok ng mas kaunting pagkakaiba-iba kaysa sa mahigit 70 mula sa VirusTotal.

Isa sa mga bentahe nito ay ang interface: Namumukod-tangi ang Jotti para sa isang Napakalinis at direktang presentasyonMainam para sa mga hindi teknikal na gumagamit na gustong malaman kung ang isang file ay "kahina-hinala" o hindi. Ang ulat ay mas maikli at hindi gaanong nakakainis kumpara sa VirusTotal.

Gayunpaman, ang serbisyo ay nakatuon lamang sa suriin ang mga maluwag na fileHindi nito pinapayagan ang pag-scan ng mga URL, domain, o IP address, isang bagay na bahagi ng pang-araw-araw na gawain sa VirusTotal para sa mga analyst at administrador.

Nagbabala ang serbisyo mismo na, kahit na gumagamit ito ng ilang mga makina, Walang 100% proteksyonBukod pa rito, lahat ng isinumiteng file ay ibinabahagi sa mga kalahok na kumpanya ng antivirus upang mapabuti ang kanilang mga lagda at mekanismo ng pagtuklas, isang bagay na dapat isaalang-alang kung humahawak ka ng lubos na sensitibong nilalaman.

Mga Pagkakatulad sa pagitan ng VirusTotal at Jotti

Mula sa pananaw ng karaniwang gumagamit, ang VirusTotal at Jotti ay may ilang pangunahing katangian na nagpapaliwanag kung bakit madalas silang binabanggit nang magkasama kapag pinag-uusapan ang... mga online na scanner ng malware.

Una sa lahat, pareho silang mga libreng serbisyong maa-access mula sa iyong browserHindi kinakailangan ang paggawa ng account para sa pangunahing paggamit, ni hindi rin kailangang mag-install ng karagdagang software. Bisitahin lamang ang website, piliin ang file, at hintayin ang resulta.

Parehong nakabatay sa ideya ng gumamit ng maraming antivirus engine nang sabay-sabay upang mapataas ang posibilidad na matukoy ang mga banta. Sa halip na umasa sa opinyon ng iisang vendor, nag-aalok sila ng isang uri ng "boto" sa iba't ibang engine.

Sumasang-ayon din sila na sila ay mga tool sa analytics na on-demandHindi sila kapalit ng desktop antivirus software. Hindi sila nagbibigay ng real-time na proteksyon, hinaharangan ang mga pag-download, o sinusubaybayan ang mga proseso; ini-scan lamang nila ang manu-mano mong ipinapadala sa kanila.

Parehong nag-alok o patuloy na nag-aalok ang VirusTotal at Jotti mga desktop client Para mapadali ang pagpapadala ng mga file nang hindi kinakailangang buksan ang browser, may isang bagay na kapaki-pakinabang para sa mga madalas mag-analisa ng mga file at ayaw ulitin ang parehong manu-manong proseso sa bawat pagkakataon.

Mga Pangunahing Pagkakaiba: Saan nananalo ang VirusTotal at saan mas nakakakumbinsi ang Jotti?

Bagama't magkatulad ang konsepto, kapag inihahambing ang VirusTotal at Jotti, lumilitaw ang mahahalagang pagkakaiba sa mga engine, mga opsyon sa pagsusuri, at antas ng detalye, na ginagawang mas akma ang bawat isa para sa isang partikular na uri ng gumagamit.

Ang unang malaking pagkakaiba ay nasa bilang at iba't ibang uri ng mga antivirus engineIpinakita ng mga paghahambing na pagsubok na habang ang Jotti ay gumamit ng humigit-kumulang 19 na engine, ang VirusTotal ay gumamit ng 40, 50 o higit pa depende sa panahon, kabilang ang mga sikat na solusyon tulad ng McAfee, Symantec o Trend Micro na hindi kasama sa Jotti.

Isa pang aspeto kung saan may kalamangan ang VirusTotal ay sa mga opsyon sa pag-scanHindi ito limitado sa mga file: pinapayagan ka rin nitong suriin ang mga URL, domain, IP address, hash, at maging ang pagkuha ng impormasyon tungkol sa pag-uugali, na lubhang kapaki-pakinabang para sa pagsusuri ng mga link bago i-download ang mga ito. bumisita sa mga website na maaaring mapanganib.

Tungkol sa seguridad ng koneksyon mismo, nag-aalok ang VirusTotal pag-upload ng file gamit ang SSL para i-encrypt ang paglilipat habang sinusuri. Ang Jotti, sa marami sa mga yugto nito, ay walang ganoong antas ng mga nakikitang opsyon, na maaaring ikabahala ng mga gumagamit na lubos na nagpoprotekta sa pagiging kumpidensyal ng kanilang ina-upload.

Sa kabilang banda, nakakuha ng puntos si Jotti dahil mismo sa kanyang pagiging simple at kalinawanHindi ka nito mabibighani ng dose-dosenang mga tab, indicator, o mga advanced na sukatan; nakatuon ito sa pagpapakita kung aling mga engine ang nagma-marka ng file bilang kahina-hinala at wala nang iba pa, isang bagay na pahahalagahan ng marami kung gusto lang nila ng mabilis na sagot.

Karaniwang natatapos ng iba't ibang paghahambing na pagsusuri na, kung ang iyong hinahanap ay pinakamataas na saklaw at kakayahang umangkopMalaki ang panalo ng VirusTotal. Sa kabilang banda, ang Jotti ay nasa magandang posisyon bilang isang komplementaryong serbisyo, isang mabilis na pangalawang opinyon pagkatapos gamitin ang VirusTotal o gamitin ang iyong lokal na antivirus.

VirusTotal matapos itong maisama sa Google Threat Intelligence

Sa mga nakaraang taon, nagbago ang sitwasyon para sa mga propesyonal na gumagamit ng VirusTotal, dahil ang serbisyo ay lalong naging integrado sa loob ng Google Threat Intelligence (GTI), ang linya ng mga produktong cyber intelligence na nakatuon sa negosyo ng Google.

Sa pamamagitan ng integrasyong ito, marami sa mga tampok na dating magagamit sa libre o panggitnang antas Lumipat na sila sa mas mataas na mga modelo ng pagbabayad, at iba't ibang mga propesyonal ang nagkomento sa mga espesyal na forum tungkol sa mga makabuluhang pagtaas ng presyo para sa mas mataas na pag-access sa data at mga ulat.

Ang pagbabagong ito ay dumarating sa isang partikular na maselang sandali, na may patuloy na pagtaas ng mga kahinaan at bantaTinatayang mahigit 15% ang pagtaas ng mga isiniwalat na CVE batay sa mga ulat ng threat intelligence kumpara sa mga nakaraang taon, na nangangailangan ng mas maraming datos, mas maraming konteksto, at mas maraming automation.

Para sa maraming cybersecurity team, threat hunter, at SOC, na sumisilong lamang sa mga pag-upload ng komunidad at mga pagtuklas ng antivirus Sa VirusTotal, hindi na ito sapat, at hindi rin naman laging sulit kung gusto mong mas malalim pang mag-aral gamit ang mga advanced na API.

Ang lahat ng ito ay nagtulak sa paghahanap ng praktikal at komplementaryong mga alternatibo na nakakatugon sa mga pangangailangan sa threat intelligence, indicator correlation, at automation nang hindi 100% umaasa sa VirusTotal/GTI ecosystem.

Mga makapangyarihang alternatibo sa VirusTotal (bukod sa Jotti)

Bagama't ang Jotti ay isang kawili-wiling alternatibo para sa paminsan-minsang paggamit, mayroong isang buong hanay ng mga mga plataporma na sumasaklaw sa mga partikular na aspeto Ang pagsusuri ng malware, pagbabahagi ng sample, reputasyon ng IP, o pagmamapa ng malisyosong imprastraktura ay pawang sulit na isaalang-alang.

Metadefender Cloud (OPSWAT)

Ang Metadefender Cloud, mula sa OPSWAT, ay isang solusyon sa cloud na hindi lamang nag-aalok Pagsusuri ng multi-engine na istilo ng VirusTotalngunit nagdaragdag ng mga karagdagang patong na nakatuon sa pag-iwas, tulad ng pagdidisimpekta at sanitasyon ng mga file.

Pinapayagan ng serbisyo ang pag-scan mga file, URL, IP address at hash Gamit ang mahigit 20-30 antivirus engine, na naghahanap ng parehong kilalang banta at kahina-hinalang pag-uugali, ang ideya ay i-maximize ang pagtuklas sa pamamagitan ng pagsasama-sama ng iba't ibang teknolohiya.

Ang tampok na bituin nito ay ang Pag-aalis ng Sandata at Muling Pagtatayo ng Nilalaman (CDR)Kumukuha ito ng isang file, inaalis ang mga potensyal na mapanganib na bahagi (mga macro, script, naka-embed na nilalaman) at bumubuo ng isang magagamit na "malinis" na bersyon, kahit na sa mga kaso kung saan ang malware ay hindi pa malinaw na natutukoy.

Nag-aalok din ang Metadefender Cloud ng pag-scan ng kahinaan sa loob ng mga fileHalimbawa, sa pamamagitan ng pag-detect ng mga lumang library o component na may mga kilalang exploit, na nagdaragdag ng karagdagang layer ng seguridad sa simpleng pagsusuri ng antivirus.

Dahil sa API at mga integrasyon nito, isa itong magandang opsyon para sa mga organisasyong gustong i-automate ang sanitasyon ng mga papasok na file (email, mga portal ng customer, mga internal na paglilipat) bago pa man makarating ang mga ito sa end user.

Jotti's Malware Scan bilang isang simpleng alternatibo

Higit pa sa direktang paghahambing sa VirusTotal, nananatiling isang mahusay na asset ang Jotti para sa mabilis at libreng mga pag-scan sa mga lokal na kapaligiran o maliliit na negosyo na hindi nangangailangan ng malalaking pag-deploy.

Ang pangunahing kaakit-akit nito ay ang paggamit ng maraming antivirus engine ang tumatakbo nang sabay-sabayPinapabuti nito ang bilis ng pagtuklas kumpara sa basta pag-asa lamang sa iisang produkto sa desktop at maaaring matuklasan ang mga banta na hindi matutuklasan ng iisang engine lamang.

Ang limitasyon ng laki nito (kasalukuyang hanggang 250 MB bawat file at may posibilidad na magpadala ng 5 nang sabay-sabayGinagawa itong praktikal para sa mga pinakakaraniwang kaso, mula sa mga installer hanggang sa mga naka-compress na file o medyo mabibigat na dokumento.

Ang paraan ng interface ay napaka-minimalist, na may simpleng panel na walang mga advanced na opsyon Maaaring nakakalito iyan. Mainam ito para sa mga gustong mag-upload ng file, makakita ng listahan ng mga engine, at mabilis na magdesisyon kung pinagkakatiwalaan ba nila ang file na iyon o hindi.

Para sa mga analyst o mga bihasang gumagamit, mahusay ang Jotti pangalawa o pangatlong mapagkukunan ng pagpapatunay pagkatapos ng VirusTotal, lalo na sa mga proseso kung saan gusto mong ihambing ang mga resulta sa pagitan ng iba't ibang online na serbisyo.

VirSCAN.org

Ang VirSCAN.org ay isa pang klasiko ng mga multi-antivirus scanner sa webPinapayagan ka nitong mag-upload ng mga file at suriin ang mga ito gamit ang ilang mga engine mula sa iba't ibang mga tagagawa, na nagbibigay ng isang cross-sectional na view ng mga posibleng impeksyon.

Sa loob ng mahabang panahon, pinamamahalaan niya ang isang 20 MB na limitasyon bawat fileIto ay medyo mas konserbatibo kaysa sa kasalukuyang mga bilang ni Jotti, ngunit sapat na para sa karamihan ng mga executable at mga dokumento sa opisina na karaniwang ginagamit sa mga senaryo ng pagsusuri.

Ang kanilang pamamaraan ay magkatulad: umakyat, maghintay para sa resulta at tingnan kung aling mga motor ang nakakakita ng anoHindi ito gaanong nakatuon sa ultra-usability at mas nakatuon sa pag-aalok ng isang gumagana at libreng serbisyong kapaki-pakinabang para sa pangalawang opinyon.

Pagsusuri ng Intezer

Ang Intezer Analyze ay nagbibigay ng bagong pananaw sa tradisyonal na pamamaraan at nakatuon sa tinatawag nilang "Pagsusuri ng kodigo henetiko"Sa halip na umasa lamang sa mga antivirus scan, pinaghihiwa-hiwalay nito ang file at pinaghahambing ang mga fragment ng code laban sa malalaking database ng malware at lehitimong software.

Sa ganitong paraan, nagagawa nitong pagtuklas ng muling paggamit ng code sa iba't ibang pamilya ng malware, tingnan ang mga pagkakatulad sa mga nakaraang sample at pangkatin ang mga sample ayon sa mga lahi, isang bagay na lubhang kapaki-pakinabang para sa mga mananaliksik at mga pangkat ng paniktik.

Ang mga ulat ng Intezer ay nagbibigay ng konteksto tungkol sa posibleng pinagmulan ng kodigokung aling mga bahagi ang bago, alin ang kinuha mula sa ibang mga Trojan o tool, at kung paano umaangkop ang sample sa mga kilalang kampanya, na nagpapadali sa gawaing pagpapatungkol.

Bukod pa rito, mahusay itong naisasama sa pamamagitan ng Mga API para i-automate ang mga pagsusumite at ugnayanSamakatuwid, ito ay isang mabisang alternatibo para sa mga kapaligirang pangnegosyo at pananaliksik na naghahangad na higitan ang karaniwang "nahawa/hindi nahawaan".

AlienVault (Antas na Asul)

Ang AlienVault, na ngayon ay nasa ilalim ng tatak na Level Blue, ay hindi lamang isang tool sa pagsusuri ng malware, kundi isang pinag-isang plataporma ng seguridad na nagsasama ng maraming kakayahan sa iisang produkto.

Ang kanilang panukala ay umiikot sa Pinag-isang Pamamahala ng Seguridad (USM)Pinagsasama ang SIEM, pagtuklas ng asset, pag-scan ng kahinaan at IDS, kasama ang pagtuklas ng malware at ugnayan ng kaganapan.

Isa sa mga pangunahing katangian ng AlienVault ay ang kolaboratibong katalinuhan sa banta, na pinapakain ng komunidad at mga komersyal na mapagkukunan, na patuloy na ina-update upang matukoy ang mga kahina-hinalang pag-uugali at mga patuloy na kampanya.

Dahil sa API nito at sa kakayahang maisama sa iba pang mga solusyon, isa itong kaakit-akit na alternatibo para sa mga organisasyong gustong makita ang malware bilang isa lamang piraso ng palaisipan sa loob ng isang kumpletong balangkas ng seguridad, hindi bilang isang bagay na nakahiwalay.

MalwareBazar

Ang MalwareBazar, na pinapagana ng abuse.ch at Spamhaus, ay isang platapormang kolaboratibo para sa pagbabahagi at pag-download ng mga sample ng malwareIto ay lubos na nakatuon sa mga mananaliksik, tagagawa ng seguridad, at mga pangkat na nangangailangan ng mga sariwang materyal para sa kanilang mga pagsusuri.

Isa sa mga bentahe nito kumpara sa ibang mga plataporma ay ang Tinatanggal nito ang maraming hadlang sa pagpasok.Walang mga kumplikadong kinakailangan sa pagpaparehistro o masyadong mahigpit na mga limitasyon sa pag-download, na ginagawang mas maayos ang pang-araw-araw na gawain sa pananaliksik.

Ang plataporma ay nakatuon sa mga totoong sample, na iniiwasan ang mga hindi kanais-nais na file, adware, o PUP upang mapakinabangan nang husto ang halaga ng ibinabahagi. Nakakatulong ito sa mga sumusuri ng mga pamilya ng malware, botnet, o mga partikular na kampanya.

Nag-aalok ang MalwareBazar ng API na nagbibigay-daan awtomatiko ang pag-download at pagsasama ng mga sample sa mga daloy ng pagsusuri, sandboxing o pagpapayaman ng intelligence, pati na rin ang mga integrasyon sa SIEM at iba pang mga solusyon.

Hunt.io

Ang Hunt.io ay mas nakatuon sa pangangaso ng banta at katalinuhan sa malisyosong imprastraktura sa halip na ang pagsusuri ng mga file mismo. Ang pokus nito ay sa mga domain, IP, at hash at kung paano sila nauugnay sa isa't isa.

Isa sa mga pangunahing katangian nito ay ang C2 na feed ng imprastraktura, na proaktibong tumutukoy at nagpapatunay sa mga command at control server bago pa man malawakang mapagsamantalahan ang mga ito, salamat sa malawakang pag-scan sa Internet.

Ang plataporma ay gumaganap ng a patuloy na pagsubaybay sa mga nakalantad na serbisyo, mga sertipiko, mga HTTP header at iba pang nakikitang elemento sa labas upang matukoy ang mga pattern ng paggamit ng mga malisyosong aktor.

Gamit ang mga tampok tulad ng IOC Hunter, pinapayagan nito ang simula sa isang partikular na tagapagpahiwatig (isang domain, isang IP, isang hash) at galugarin ang mga kaugnay na imprastraktura: mga nakalantad na direktoryo, mga nakabahaging sertipiko, mga kahina-hinalang header, atbp.

OPSWAT MetaDefender Cloud bilang isang kagamitan sa pangangaso

Bukod sa mga kakayahan nito bilang isang multi-engine scanner, ang MetaDefender Cloud ay nasa magandang posisyon bilang kagamitan sa pangangaso ng banta sa pamamagitan ng pagsasama ng datos mula sa maraming tagapagbigay ng seguridad, feedback ng user, at mga kakayahan sa ugnayan.

Ginagamit ng plataporma ang higit pa sa 20 antivirus engine at iba pang mga patong ng pagsusuri upang mabawasan ang mga maling negatibo, mapabuti ang mga oras ng pagtugon at mapadali ang pagbibigay-priyoridad ng mga alerto sa mga kapaligirang pangkorporasyon.

Ang pamamaraang kolaboratibo nito, kung saan maaaring Pagmamarka at pagkokomento sa mga file, IP o domainPinapayagan nito ang patuloy na pagpino ng mga algorithm ng pagtuklas at pagpapanatili ng sistema na nakahanay sa mga pinakabagong banta.

CAPE Sandbox

Ang CAPE Sandbox (CAPEv2) ay ang ebolusyon ng mga nakaraang proyekto tulad ng Cuckoo Sandbox at naging isang Isang napakalakas na tool para sa dynamic na pagsusuri ng malware, mainam para sa mga laboratoryo at mga pangkat ng pagtugon.

Ang pinakamalaking kalakasan nito ay nasa pagsasama-sama static at dynamic na pagsusuri upang kunin ang mga panloob na konpigurasyon, i-unpack ang mga nakatagong payload, at tuklasin ang mga pamamaraan ng pag-iwas na kadalasang hindi napapansin sa mga purong static na pagsusuri.

Ang CAPEv2 ay may kakayahang magmonitor Mga tawag sa API, trapiko sa network, mga pagbabago sa file system, at memoryapagbuo ng mga detalyadong ulat tungkol sa gawi ng malware habang isinasagawa.

Kasama rin dito ang isang sistema ng paglilinis na ginagabayan ng Mga tuntunin at iba pang mekanismo ng YARAna nakakatulong upang harapin ang mga sample gamit ang mga pamamaraang anti-sandbox o mas advanced na mga pagtatangka ng camouflage.

Abuso angIPDB

Ang AbuseIPDB ay isang kolaboratibong database ng Reputasyon ng IP address na nangongolekta ng mga ulat ng malisyosong aktibidad na isinumite ng mga user, kumpanya, at mga automated na serbisyo mula sa buong mundo.

Kahit sinong tao o sistema ay maaaring Iulat ang mga IP na nagsasagawa ng mga pag-atakemga pagtatangka ng brute force, spam, mapang-abusong pag-scan o iba pang kahina-hinalang pag-uugali, na nakakatulong sa pagpapabuti ng kalidad ng database.

Tinitiyak ng pamamaraang nakabatay sa komunidad na ang database ay mananatiling napapanahon sa aktwal na malisyosong aktibidad, higit pa sa mga simpleng static na listahan na nilikha sa isang laboratoryo, at ginagawa itong mahalaga para sa pagharang o pagsala ng papasok na trapiko.

Pinapadali ng API nito ang pagsasama ng reputation intelligence na ito sa mga firewall, SIEM, WAF o sariling mga scriptupang ang mga desisyon sa pagharang o pag-aalerto ay masuportahan ng pinayaman na datos sa kasaysayan ng bawat IP address.

Dahil sa lahat ng nabanggit, ang VirusTotal at Jotti ay nananatiling dalawang lubhang kapaki-pakinabang na kagamitan para sa partikular na pagsusuri ng mga file, ngunit umaangkop ang mga ito sa isang mas malawak na larawan kung saan ang mga multi-engine scanner, mga platform ng pagbabahagi ng sample, mga advanced na sandbox, at malisyosong intelligence sa imprastraktura ay nagpupuno sa isa't isa upang mag-alok ng mas mayaman at mas naaaksyunang pananaw sa mga kasalukuyang banta.