简介:
        Norman Sandbox是Norman公司推出的免费在线病毒分析服务, 所谓Sandbox，顾名思义就是创建一个虚拟的环境，让文件在其中执行，通过分析文件的动作来判断该文件是否为恶意程序。

        Norman Sandbox除了进行行为检测外，还会对文件进行特征码扫描，因此它是进行病毒（特别是未知）病毒分析、处理的有力工具

        需要注意的是Sandbox所虚拟的运行环境与真实环境有一定的差异，分析结果可能会与病毒在真机上的动作有所不同（通常是遗漏某些动作）。


使用方法:


        访问http://www.norman.com/microsites/nsic/

        进入Norman Sandbox information center


点击右上角的Submit file,进入如下文件提交页面,按照要求输入需要的内容，然后点击上传,上传成功，请稍后检查邮箱，查看分析报告.


分析报告例子:
        sysinfo2.dll : INFECTED with W32/Malware (Signature: W32/Delf.AGJM)

        文件该感染了WIN32系统下的恶意软件（特征码命名为W32/Delf.AGJM）

[ DetectionInfo ]检测信息
    * Sandbox name: W32/Malware
    * Signature name: W32/Delf.AGJM

[ General information ]一般信息
    * File might be compressed.  文件可能经过压缩
    * Decompressing ASPack.  使用了ASPack加壳
    * Drops files in %WINSYS% folder. 释放文件到系统文件夹
    * File length:       197632 bytes. 文件大小
    * MD5 hash: 074926bb5145549a9a34ba04c172c735. MD5值

[ Changes to filesystem ] 对文件系统的修改
    * Creates file C:\WINDOWS\SYSTEM32\SysInfo.dll. 创建的文件

[ Changes to registry ] 对注册表的修改
    * Creates key "HKCR\CLSID\{989D2FEB-5411-4565-8988-1DD2C5263377}\InprocServer32".
    * Sets value ""="C:\WINDOWS\SYSTEM32\SysInfo.dll" in key "HKCR\CLSID\{989D2FEB-5411-4565-8988-1DD2C5263377}\InprocServer32".
    * Sets value "ThreadingModel"="Apartment" in key "HKCR\CLSID\{989D2FEB-5411-4565-8988-1DD2C5263377}\InprocServer32".
    * Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{989D2FEB-5411-4565-8988-1DD2C5263377}".
    * Sets value ""="MyBHO_0.1" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{989D2FEB-5411-4565-8988-1DD2C5263377}".
    * Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder".
    * Sets value "ShowSuperHidden"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced".

[ Process/window information ]进程或者窗口的动作
    * Creates an event called . 创建事件消息
    * Enumerates running processes. 枚举运行的进程

[ Signature Scanning ]特征码扫描
    * C:\WINDOWS\SYSTEM32\SysInfo.dll (197632 bytes) : no signature detection.

人工智能虚拟机分析结果包括:
（1）文件是否对硬盘读写，创建了什么文件。
（2）可疑文件是否进行网络连接，连接什么端口
（3）创建了那些系统进程。
（4）相关的可疑文件大小和md5
（5）文件是否加壳压缩
（6）是否是已知病毒