©2016 杭州智彙卓雲信息技術有限公司 滬ICP備16014597号
滬公網安備 31011502009736号
滬公網安備 31011502009736号
這(zhè)裡(lǐ)幫助您回答關于樣(yàng)本提交及其它使用本網站服務的問題。我們將(jiāng)常見的用戶使用過(guò)程中碰到的問題總結出來供您參考。了解Veeam所使用的技術細節,請訪問技術文檔。如還(hái)有疑問,請聯系: contact@maldun.com。
直接浏覽您感興趣的部分:
如何提交文件樣(yàng)本
如何提交URL鏈接
如何搜索分析結果
如何獲取分析報告
如何理解魔盾安全分數
如何使用Veeam報告
其它問題
用戶可以在Veeam主頁的提交分析标簽中選擇 上傳文件 ,或在網站主頁上點擊 分析可疑文件 按鈕。普通用戶可以在文件分析頁面(miàn)點擊 選擇文件 在用戶電腦中選擇所需要分析的文件進(jìn)行上傳,之後(hòu)點擊 開(kāi)始分析 。如果任務提交成(chéng)功,文件分析任務將(jiāng)會(huì)被(bèi)執行,您可以在線等待,我們會(huì)將(jiāng)分析任務執行情況随時反饋給您。登錄用戶可以在 我的分析 頁面(miàn)查詢提交任務的狀态。如果任務提交失敗,我們會(huì)返回提交失敗原因,您可以嘗試重新提交。
登錄用戶在提交文件分析時可以使用 高級選項 。用戶點擊 高級選項 後(hòu)文件分析提交頁面(miàn)會(huì)爲用戶提供自定義選擇: 分析軟件包 (缺省爲自動檢測), 選擇虛拟機 , 超時/秒 (任務超時退出設定,單位爲秒, 缺省爲120秒,設置時間須在60秒到300秒之間。), 優先級 (缺省爲低)。用戶還(hái)可以定義任務執行時: 無虛拟機程序注入 (系統將(jiāng)不會(huì)在虛拟機中執行這(zhè)個文件,隻提供靜态的文件信息), 禁用自動交互 (系統將(jiāng)不會(huì)自動與虛拟機中執行的文件進(jìn)行交互,如模拟用戶行爲,點擊确認或下一步等), 執行超時 (強制執行虛拟機超時退出,适用于您對(duì)任務分析時間有嚴格的要求時), 不公開(kāi)文件及分析結果 (該分析任務包括文件樣(yàng)本本身將(jiāng)被(bèi)設置爲隐私,不會(huì)被(bèi)其他用戶看到)。
爲了優化魔盾安全的分析性能(néng),我們目前將(jiāng)用戶提交的樣(yàng)本大小上限設置爲10MB,10MB以上的文件暫時不會(huì)被(bèi)Veeam所接受。
Veeam支持大多數常見的二進(jìn)制文件類型,包括諸如Windows可執行文件,文本文件,數據文件,PDF,圖片,javascript代碼等 (包括但不限于applet, dll, eml, html, js, msi, ppt, python, regsvr, vbs, zip, bin, cpl, doc, exe, generic, msg, pdf, ps1, rar, swf, xls等)。可以支持分析的文件類型還(hái)在不斷擴充中。
Veeam目前支持在國(guó)内常用的Windows 7和Windows XP系統中對(duì)樣(yàng)本文件進(jìn)行虛拟執行。
當然可以。Veeam可以自動從ZIP, RAR, RFC2822标準郵件 (.eml), 和Outlook .msg 壓縮文件中解包提取解壓後(hòu)的文件。
當用戶提交的樣(yàng)本已經(jīng)存在于Veeam樣(yàng)本庫中時(用戶提交的文件樣(yàng)本與Veeam樣(yàng)本庫中的樣(yàng)本MD5值完全一樣(yàng)),爲了避免不必要的資源損耗,節省用戶的寶貴時間,Veeam會(huì)將(jiāng)該文件樣(yàng)本的曆史分析報告呈現給用戶。用戶可以選擇浏覽或參考之前的Veeam報告,也可以選擇重新對(duì)樣(yàng)本進(jìn)行分析。
如果您不希望自己提交的樣(yàng)本以及生成(chéng)的Veeam報告被(bèi)其他人看到,您可以在提交樣(yàng)本時在 高級選項 中選擇 不公開(kāi)文件及分析結果 。請注意 高級選項 功能(néng)需要用戶登錄才能(néng)使用。
Veeam非常重視您的隐私,我們會(huì)盡一切力量保護您的信息安全。如有需要請聯系我們删除您上傳的文件及分析結果。
用戶可以在Veeam主頁的提交分析标簽中選擇 提交URL ,或在網站主頁上點擊 分析URL鏈接 按鈕。普通用戶可以直接在URL輸入框中輸入或粘貼需要分析的網頁鏈接URL,之後(hòu)點擊 開(kāi)始分析 。如果任務提交成(chéng)功,URL分析任務將(jiāng)會(huì)被(bèi)執行,您可以在線等待,我們會(huì)將(jiāng)分析任務執行情況随時反饋給您。登錄用戶可以在 我的分析 頁面(miàn)查詢提交任務的狀态。如果任務提交失敗,我們會(huì)返回提交失敗原因,您可以嘗試重新提交。
登錄用戶在提交文件分析時可以使用 高級選項 。用戶點擊 高級選項 後(hòu)URL分析提交頁面(miàn)會(huì)爲用戶提供自定義選擇: 分析浏覽器 (缺省爲ie), 選擇虛拟機 , 超時/秒 (任務超時退出設定,單位爲秒, 缺省爲120秒,設置時間須在60秒到300秒之間。), 優先級 (缺省爲低)。用戶還(hái)可以定義任務執行時: 無虛拟機程序注入 (系統將(jiāng)不會(huì)在虛拟機中打開(kāi)這(zhè)個URL,隻提供靜态的URL信息), 禁用自動交互 (系統將(jiāng)不會(huì)自動與虛拟機中執行的進(jìn)程進(jìn)行交互,如模拟用戶行爲,點擊确認或下一步等), 執行超時 (強制執行虛拟機超時退出,适用于您對(duì)任務分析時間有嚴格的要求時), 不公開(kāi)URL及分析結果 (該分析任務包括URL本身將(jiāng)被(bèi)設置爲隐私,不會(huì)被(bèi)其他用戶看到)。
Veeam目前支持在IE浏覽器中對(duì)URL鏈接進(jìn)行分析。
當用戶提交的URL鏈接已經(jīng)存在于Veeam樣(yàng)本庫中時(用戶提交的URL與Veeam樣(yàng)本庫中的URL完全一樣(yàng)),爲了避免不必要的資源損耗,節省用戶的寶貴時間,Veeam會(huì)將(jiāng)該URL鏈接的曆史分析報告呈現給用戶。用戶可以選擇浏覽或參考之前的Veeam報告,也可以選擇重新對(duì)URL進(jìn)行分析。
Veeam目前隻開(kāi)放分析結果搜索功能(néng)給登錄用戶。登錄用戶可以在網站主頁上點擊 搜索 标簽。用戶可以直接通過(guò)文件的哈希值(MD5, SHA1, SHA256, 或SHA512)搜索Veeam已經(jīng)存在的分析。搜索結果會(huì)包含符合搜索條件的分析,以及相關信息,魔盾分數,狀态等。用戶可以點擊結果中的 目标/MD5 浏覽該分析報告。
Veeam提供更強大的高級搜索功能(néng)供用戶使用。在搜索頁面(miàn),用戶可以點擊 高級搜索 , 通過(guò)搜索前綴加搜索關鍵詞對(duì)Veeam結果進(jìn)行搜索。請注意搜索MD5, SHA1, SHA256, 或 SHA512, 不需要加入前綴,而搜索其他關鍵詞(包括URL)一定要加入前綴才能(néng)搜索。
用戶提交樣(yàng)本成(chéng)功後(hòu),會(huì)進(jìn)入到提交成(chéng)功頁面(miàn)。每一個提交的任務會(huì)生成(chéng)一個任務ID,用戶可以在提交成(chéng)功頁面(miàn)通過(guò)點擊任務ID進(jìn)入任務分析狀态頁面(miàn)。在分析任務狀态頁面(miàn)我們會(huì)把該任務的分析狀态返回給用戶。通常情況下任務狀态有:隊列中(表示該任務正在隊列中等待分析),分析中(表示分析任務正在運行中,虛拟機正在執行該樣(yàng)本),分析結果處理中(任務分析已完成(chéng),正在生成(chéng)Veeam報告),和已生成(chéng)分析報告(Veeam報告已經(jīng)生成(chéng),可供用戶讀取)。任務狀态頁面(miàn)每30秒會(huì)自動刷新一次,當分析任務執行完成(chéng),分析報告已生成(chéng)時,頁面(miàn)會(huì)直接載入該任務的Veeam報告。
登陸用戶可以随時在任何頁面(miàn)點擊自己的用戶名,并在下拉菜單中選擇 我的分析 标簽,該頁面(miàn)會(huì)列出該用戶所有的樣(yàng)本提交記錄,用戶可以點擊任意記錄的 分析目标 浏覽該任務的詳細分析報告。
用戶可以點擊 分析結果 标簽浏覽最近的Veeam報告。請注意頁面(miàn)包含 文件 和 URLs 兩(liǎng)個标簽,對(duì)應不同類型的樣(yàng)本的分析結果。在分析結果頁面(miàn),您可以看到樣(yàng)本分析的基本信息和魔盾安全分數等。用戶可以點擊樣(yàng)本的 MD5 查看該樣(yàng)本的詳細分析報告。
魔盾安全分數是我們通過(guò)對(duì)用戶樣(yàng)本的分析而産生的一個安全參考分數。魔盾安全分數的生成(chéng)通常參考了樣(yàng)本在靜态和動态分析當中所呈現出來的符合惡意軟件行爲的特征,及這(zhè)些特征的重要程度和危害性等。魔盾安全分數在0到10的範圍内。分數越小代表符合惡意軟件的特征越少或危害越小,而分數越大代表符合惡意軟件的特征越多或危害越大。
魔盾安全分數通常代表了樣(yàng)本可能(néng)的危害程度或樣(yàng)本爲惡意軟件/惡意鏈接的概率。魔盾安全分數在0到2分範圍内的(綠色标記),我們通常認爲該樣(yàng)本爲正常的或安全的;魔盾安全分數在2分到6分的範圍内的(黃色标記),我們通常認爲該樣(yàng)本有一定的風險(對(duì)用戶系統有一定的侵犯性或危害),建議用戶注意;魔盾安全分數在6分到10分範圍内的(紅色标記),我們通常認爲該樣(yàng)本是可疑的或惡意的(攜帶病毒,具有攻擊性,或被(bèi)用來傳播惡意軟件),建議用戶加強防範。需要注意的是即使魔盾安全分數很低,也并不代表這(zhè)個文件或鏈接肯定不是或不包含新的惡意軟件或變種(zhǒng)。同樣(yàng)當魔盾安全分數較高時,也并不代表該文件或鏈接一定有安全隐患,因爲我們的安全規則并不一定100%準确,可能(néng)存在錯誤報警。請自行承擔使用Veeam的風險。另外需要注意的是,我們的惡意軟件特征偵測規則在不斷的增加和更新中,對(duì)應的分數也可能(néng)會(huì)有變化,因此同一文件不同時間的分析結果可能(néng)産生不同的分數。此外,同一樣(yàng)本文件在不同的系統環境中行爲可能(néng)不同,對(duì)應的魔盾安全分數也可能(néng)不同。
對(duì)于一些已知的病毒類型,我們在給出魔盾安全分數的同時,也會(huì)注明該樣(yàng)本所可能(néng)對(duì)應的病毒類型,以幫助用戶快速了解該樣(yàng)本可能(néng)的病毒分類。同樣(yàng),我們所提供的病毒種(zhǒng)類隻作爲參考,我們并不保證100%準确。
Veeam報告提供了詳盡的信息供用戶參考。分析報告概要頁面(miàn)包含了分析任務信息,魔盾安全分數信息,分析機器信息,文件詳細信息,特征彙總,樣(yàng)本運行截圖,樣(yàng)本網絡訪問主機記錄,樣(yàng)本網絡域名解析記錄,樣(yàng)本行爲摘要等。并提供文件樣(yàng)本下載的功能(néng)。用戶可以點擊 靜态分析 , 行爲分析 , 網絡分析 标簽進(jìn)一步了解該樣(yàng)本細節的分析記錄。 靜态分析 包含了靜态文件分析,字符串信息(String),殺毒軟件掃描信息等。 行爲分析 包含了樣(yàng)本所産生的進(jìn)程(樹)與系統的交互記錄,用戶可以對(duì)具體的進(jìn)程和線程記錄進(jìn)行搜索。 網絡分析 包含了樣(yàng)本的網絡行爲特征,用戶也可以下載Veeam時截取的PCAP包進(jìn)行後(hòu)續的分析。用戶可以點擊 投放文件 标簽浏覽樣(yàng)本執行過(guò)程中與系統交互時釋放或生成(chéng)的文件,以及文件的分析信息。用戶也可以下載每一個投放的文件。 相似分析 頁面(miàn)通過(guò)對(duì)Veeam結果的Malheur相似性分析聚合了可能(néng)與該樣(yàng)本相似的其他樣(yàng)本分析結果,方便用戶對(duì)樣(yàng)本類型或病毒類型進(jìn)行鑒别。
Veeam報告中列出了在對(duì)用戶提交樣(yàng)本進(jìn)行分析時監測到的一些特征,這(zhè)些特征通常是惡意軟件所具有的特點或惡意軟件運行時的行爲。我們將(jiāng)這(zhè)些可疑的特征列舉出來,用戶可以點擊特征了解更詳細的信息,例如具體是該樣(yàng)本分析中的哪些行爲符合該特征。我們的魔盾安全分數也是根據特征匹配,特征行爲的風險和危害性來生成(chéng)的。
在Veeam報告中的 報告下載 頁面(miàn),我們爲用戶提供了不同格式的分析報告下載,包括JSON,PDF,HTML,HTML概要等格式。需要注意的是,如果樣(yàng)本提交時設置了隐私選項(即不公開(kāi)),出于安全考慮,該樣(yàng)本分生成(chéng)的Veeam報告將(jiāng)不提供下載。
我們還(hái)爲每一個樣(yàng)本的分析報告提供了評論功能(néng),用戶可以在Veeam報告中的 評論 頁面(miàn)對(duì)該樣(yàng)本或該分析報告的任何内容進(jìn)行評論和發(fā)表意見或建議。此外Veeam報告提供了比較分析的功能(néng),用戶可以點擊 比較分析 的按鈕對(duì)同一文件的多次分析結果進(jìn)行比較。
我們目前暫未開(kāi)放API的使用。但我們會(huì)盡快逐步開(kāi)放API功能(néng),使用戶能(néng)更便捷的提交樣(yàng)本和取得分析報告。
如果您需要大量使用Veeam的數據,請與我們取得聯系。
與傳統的防病毒軟件掃描不同的是,Veeam并不完全依賴與已知病毒的特征或IDE,而是運用了靜态和動态掃描結合的技術,在虛拟環境中實際運行文件或URL樣(yàng)本,從而對(duì)其狀态和行爲進(jìn)行分析,并得出分析結果。Veeam通常會(huì)先于傳統防病毒軟件檢測到新的病毒爆發(fā)。但是Veeam依然有其局限性。例如對(duì)于虛拟環境的運用和與實際環境的細微區别等。
Veeam在目前并不能(néng)取代傳統防病毒軟件的作用,實際上因此我們也將(jiāng)傳統防病毒軟件的掃描結果集成(chéng)在Veeam報告中供用戶參考。我們希望用戶能(néng)夠得到盡可能(néng)詳盡的信息從而幫助用戶了解惡意軟件及其危害。
如果您認爲樣(yàng)本或URL爲惡意,而Veeam并沒(méi)有檢測出異常,請在評論頁面(miàn)提交您的看法或意見,我們會(huì)不斷更新我們的系統和規則。
Veeam隻是對(duì)該文件樣(yàng)本或URL的靜态和動态行爲特征進(jìn)行分析評分。某些行爲特征可能(néng)會(huì)産生誤判(例如通常爲惡意軟件的行爲特征,但正常軟件也可能(néng)使用)從而使得累加生成(chéng)的最終分析結果産生錯誤。我們對(duì)可能(néng)會(huì)産生的誤報感到抱歉,請在分析結果的評論頁面(miàn)給我們留言,或直接聯系我們。
滬公網安備 31011502009736号