【01】卓伊凡收到冒充税务机关的诈骗程序-决定在沙盒Sandbox环境中运行测试下-广大企业同胞们注意防诈骗

【01】卓伊凡收到冒充税务机关的诈骗程序-决定在沙盒Sandbox环境中运行测试下-广大企业同胞们注意防诈骗

21日收到一封邮件冒充税务机关的邮箱，但是说来也奇怪，最近刚好和税局老师通过电话说过欠社保清缴的事情，然后就收到这邮箱了，说明这些人在通信上面是肯定搞了鬼的。

首先大家注意，他们还是用了企业邮箱发过来的，不容易辨别。

预览图片内容一看，哦哟，这就假到姥姥家了，但是很多传统企业老板如果不注意是发现不了的。

ok 看到了 里面是个exe，既然是exe文件肯定不能贸然运行，毕竟卓伊凡的本机电脑资料也很多的，因此我们准备建立沙盒环境

如何安全建立沙盒环境测试诈骗软件

如果你收到了一个疑似诈骗软件的程序，并希望分析它的行为，绝对不能直接在真实系统中运行！ 否则可能导致数据泄露、系统感染或财产损失。

今天，我将教你如何用沙盒（Sandbox）环境安全测试可疑程序，并推荐几种专业工具和方法。

1. 什么是沙盒（Sandbox）？

沙盒是一种隔离的虚拟环境，允许你在不危害真实系统的情况下运行未知程序。它的核心特点：

完全隔离：程序无法访问宿主机的文件、网络或硬件。

行为监控：记录程序的文件修改、注册表更改、网络请求等。

无害清理：关闭沙盒后，所有痕迹自动清除。

2. 测试前的准备工作

（1）确保物理隔离

使用专用设备（如闲置电脑），不要在公司或个人主力机上测试。

断开网络（或使用虚拟网卡），避免恶意软件外连服务器。

（2）备份重要数据

即使使用沙盒，也建议提前备份关键文件（如云端或移动硬盘）。

（3）记录初始状态

用工具（如 Process Monitor）记录系统当前的进程、文件、注册表状态，方便对比分析。

3. 4种沙盒环境搭建方法

方法1：Windows 自带沙盒（推荐新手）

适用场景：快速测试EXE文件，无需复杂配置。

步骤：

确保系统是 Windows 10/11 Pro 或 Enterprise（家庭版不支持）。

启用沙盒功能：

搜索 “启用或关闭 Windows 功能”，勾选 “Windows Sandbox”，重启电脑。

运行沙盒：

在开始菜单打开 Windows Sandbox，将可疑程序拖入沙盒内运行。

分析行为：

观察程序是否请求权限、修改文件、弹出广告等。

关闭即清理：

关闭沙盒后，所有数据自动销毁。

优点：微软官方工具，简单易用。

缺点：功能较基础，无法深度分析网络行为。

方法2：虚拟机（VMware/VirtualBox）

适用场景：需要长期分析或复现复杂攻击链。

步骤：

安装虚拟机软件（如 VMware Workstation 或 VirtualBox）。

下载一个干净的系统镜像（如 Windows 10 ISO）。

创建虚拟机，安装系统（建议禁用共享文件夹和剪贴板）。

在虚拟机内运行可疑程序，并用工具监控：

Process Monitor（监控文件/注册表操作）

Wireshark（抓取网络流量）

ProcExplorer（查看进程树）

优点：完全隔离，可保存快照（Snapshot）反复测试。

缺点：占用资源较多，需手动清理。

方法3：专业沙盒工具（Cuckoo Sandbox）

适用场景：自动化深度分析恶意软件行为。

步骤：

安装 Cuckoo Sandbox（需Python环境）。

配置虚拟机作为分析环境（推荐使用VirtualBox）。

提交可疑文件给Cuckoo，它会自动生成报告，包括：

创建的进程

修改的文件

发起的网络请求

截图（如勒索软件的弹窗）

优点：全自动化，适合高级用户。

缺点：配置复杂，需一定技术基础。

方法4：在线沙盒（Hybrid Analysis）

适用场景：不想本地安装任何工具。

推荐平台：

Hybrid Analysis（免费）

Any.Run（交互式分析）

步骤：

上传可疑文件（支持EXE、PDF、Office文档等）。

平台会自动在云端沙盒运行，并生成行为报告。

优点：无需本地资源，报告详细。

缺点：文件会上传到第三方服务器，隐私敏感数据需谨慎。

4. 测试时的关键观察点

运行可疑程序后，重点关注以下行为：

文件操作：是否加密或删除文件（勒索软件特征）。

网络连接：是否尝试联系可疑IP或域名（如 185.143.223.xx）。

注册表修改：是否添加自启动项（如 HKLM\Software\Microsoft\Windows\CurrentVersion\Run）。

进程注入：是否劫持合法进程（如 explorer.exe）。

5. 测试后的安全措施

彻底清理环境：

虚拟机：恢复到干净快照。

物理机：格式化硬盘重装系统（极端情况下）。

上报威胁：

将样本提交至 VirusTotal 或国家网络安全机构。

增强防护：

安装杀毒软件（如火绒、卡巴斯基）。

定期更新系统和软件补丁。

6. 重要法律与道德提醒

仅限研究目的：切勿用于非法测试他人系统。

遵守《网络安全法》：在中国，传播或制作恶意软件可能构成犯罪。

企业需授权：在公司网络测试前，务必获得IT部门批准。

总结：如何选择沙盒方案？

如果你是新手，建议从 Windows Sandbox 或 在线沙盒 开始！

下集我们安装cuckoo sandbox