Adaptive Sandbox
基于仿真技术的动态分析,能够在大规模环境中(包括云端、本地、
以及物理隔离环境)揭露零日攻击和隐蔽威胁。OPSWAT Adaptive Sandbox 指令级仿真技术,迫使恶意软件暴露其真实行为,从而在不影响文件流速的情况下提取深度 IOC。
- 反规避韧性
- 大样本分析
- 可操作的增支经营成本
OPSWAT 得到以下机构的信任
指令级
仿真引擎
绕过反虚拟机规避技术
25k+
Server
120+
支持的文件类型
约10秒
快速通道分析
900+
行为指标
MISP、STIX、JSON 导出
Cloud、本地、物理隔离部署
现代恶意软件的设计初衷就是为了规避检测
传统的虚拟机沙箱在性能、可扩展性以及应对高级反分析技术方面存在困难。
隐蔽型恶意软件隐藏其行为
高级威胁能够检测虚拟机、延迟执行、检查地理位置,或仅在特定条件下触发,这使得传统沙箱无法察觉真实的运行时行为。
沙箱机制减缓了文件传输速度
基于虚拟机的引爆农场会造成瓶颈,迫使组织在边界或安全运营中心(SOC)处理流程中,在深度检测与运行速度之间做出取舍。
警报缺乏行为深度
静态检查和信誉核查仅停留在哈希值和域名层面,几乎无法提供有关攻击者意图、所用工具或攻击活动关联性的背景信息。
Adaptive 迫使恶意软件暴露行踪
一种指令级动态分析方法,可在不牺牲可视性、速度或部署灵活性的前提下实现可扩展性。
指令级仿真
在指令层面上模拟 CPU 和操作系统的执行过程,绕过反虚拟机机制,迫使具有规避能力的恶意软件在受控环境中完全执行。
高性能动态分析
经过优化的架构支持大规模检测并提供近乎实时的判定结果,可支持外围检测、安全运营中心(SOC)分级处理以及自动化工作流。
深度行为提取
自动提取丢失的文件、注册表更改、网络回调、配置文件以及与MITRE框架映射的行为,以支持调查和威胁狩猎。
从文件提交到行为裁决
一个分层的静态与动态分析流程,旨在揭露规避检测的技术和多阶段攻击。
步骤 1深层结构分析
对 120 多种文件类型进行高级静态检测,在动态执行开始前提取其中的嵌入式内容、脚本、宏和shellcode。
- 步骤 2
Adaptive 威胁分析
通过模拟 CPU、操作系统和应用程序的行为,触发执行路径,绕过反分析检测,并揭露隐藏的多阶段有效载荷。
- 步骤 3
IOC 提取与报告
生成包含行为指标、网络痕迹、配置数据以及适用于 SIEM、SOAR、MISP 和 STIX 工作流的即用型情报的结构化报告。
主要功能
防规避架构
指令级仿真可降低虚拟机指纹识别技术(如长时间休眠、地理围栏检查、沙箱检测以及延迟有效载荷执行)带来的风险。
高吞吐量
每台服务器每天可处理超过 25,000 次分析,采用快速通道动态检测技术,支持企业级环境,且不会出现性能瓶颈。
灵活的部署模式
可在云原生、本地、混合或完全隔离的环境中部署,以符合监管要求和高安全性的运营限制。
Adaptive 覆盖
Adaptive Sandbox 应对现代规避策略,包括:
- 地理围栏与位置验证
- 长时间休眠和延迟执行循环
- 经过混淆的 VBA 代码和损坏的 OOXML 有效载荷
- 压缩或膨胀的可执行文件
- Shellcode 和纯内存有效载荷
- 多级装载器和卸料器
通过在指令级别操控执行流程,该引擎揭示了在基于虚拟机的环境中可能永远不会触发的行为。
随处部署,随处集成
可扩展的综合文件安全解决方案,可与您的文件无缝集成并随行。
Cloud
基于SaaS的恶意软件触发。弹性扩展,无需管理基础设施。
企业内部
专属本地部署。全面掌控、低延迟,并可与安全网关集成。
气隙式
离线动态分析。支持无需外部连接的高安全性及受监管环境。
资源
MetaDefender 产品说明书
2025 年OPSWAT 威胁态势报告
