连着几天的阴天，今天周五阳光明媚，老天知我意啊~

前言

  护网过程中，很多时候拿到了样本需要分析，但还有很多告警待研判。这时用 IDA 或者 x64Dbg 调试效率就太低了，这里介绍一下一些快速的分析方法。

沙箱

  遇到可执行样本，二话不说先扔到沙箱里面，无论是公司自己的沙箱还是外部沙。在客户授权可以外传的情况下直接丢进去即可。快速出详细的分析结果。

  常见沙箱有：
   微步沙箱：https://s.threatbook.com/

微步沙箱

   VT：https://www.virustotal.com/gui/home/upload

VT 沙箱

   大圣云沙箱:https://sandbox.riskivy.com/detect?type=cloud

大圣云沙箱

  还有很多云沙箱，但是一般一两个就够用了，大差不差的结果。

GPT

  一些非可执行文件的样本，常见如代码后门之类的，无法用沙箱得出准确结论，需要使用 GPT 进行研判。

GPT 分析

流量抓包

  有时候样本需执行一段时间才能有会话和数据包产生。虽然沙箱也有流量抓包功能，但有执行时间限制。在确保安全的情况下，可在虚拟机中执行样本，然后使用抓包软件对虚拟机抓包获取样本通讯流量。

反调试反虚拟机样本

  假设沙箱和虚拟机都无法执行样本，这个时候就需要自己进行分析了。使用 IDA 打开工具，会自动定位到入口，如果看不懂汇编就按 F5，可以将汇编代码转换成 C 代码，后面自己阅读代码或交给 GPT。

IDA

反调试反虚拟机加壳样本

  有能力自己分析，没能力交给后场人员分析。