【天穹】使用天穹沙箱，So Easy！

天穹沙箱在统一的系统架构、访问接口和报告格式之下，实现了对上述不同硬件架构、操作系统的虚拟机分析环境的支持。并且，整个平台高度模块化、乐高化，不同硬件架构、操作系统的虚拟机分析环境可以按需裁剪和拼装，组合出满足各种不同客户场景和应用形态的定制化沙箱系统

在访问接口方面，除了网页、REST接口外，天穹沙箱还支持FTP、命令行形式的访问接口，便于机器对机器的自动化对接与集成。在分析报告输出形式上，除了XML、HTML两种形式外，天穹沙箱还支持JSON、PDF形式的分析报告输出，便于机读处理和人读理解。

一、样本上传及环境选择

通过公司内网或VPN访问天穹沙箱系统（网址：https://sandbox.qianxin-inc.cn），点击“企业域账号登录“，利用个人域账号登录系统。登陆之后即可见到样本上传界面，如图所示。

之后，也可以通过点击左侧导航栏”开始分析“到达样本上传页面，如图所示。

在样本上传页面，可以直接点击样本选择框，选择需要上传分析的样本。此时，系统将采用智能分析模式，自动根据样本类型，选择合适的分析参数，包括操作系统、应用环境、分析时长等参数，自动开始分析过程。

用户也可以点击”高级选项“，手动选取分析参数，包括操作系统、应用环境、分析时长，是否使用网络模拟等参数，如下图所示，然后再点击样本选择框，选择需要上传分析的样本。此时，系统将根据用户配置的参数对样本进行动态分析。

样本上传之后会自动跳转到“任务列表“栏目，可以看到用户当前正在分析的样本，以及历史样本的分析报告。当样本处于”“正在分析”状态时，点击“操作”栏下的”远控“图标，进入天穹远控页面。通过远控桌面可人工操作样本，触发依赖特定条件的样本行为。

当分析状态为”完成分析“时，表示样本已经分析完成，分析报告已经生成，点击“操作”栏下的”查看报告“图标，可以打开查看该样本的分析报告，如下图所示。

二、如何使用网络模拟服务

天穹沙箱支持真实外联网络，默认模拟网络，自定义模拟网络三种通信模式，样本分析人员可根据需求选择不同的通信方式。

真实外联网络：公司划定的隔离网区域，样本执行过程公网资源网络可达。
模拟网络：恶意样本的C2地址有一定的时效性，通过模拟网络服务可以提高样本恶意行为的触发率。
- 默认模拟网络：天穹沙箱模拟常规的网络服务，如：dns、http、https、smtp、smtps、pop、pop3、ftp、ftps等几十种常见的网络服务。登录天穹沙箱后，点击”开始分析“菜单后，展开”高级选项“，打开”网络模拟开关“，并点击”确认选择“即开启默认网络模拟服务。
- 自定义模拟网络：样本分析人员在分析样本过程中，可自行搭建网络服务（ :warning:注意：确保网络服务在公网可达的，如不方便暴露在公网，可以联系我们开启acl权限。登录天穹沙箱后，点击”开始分析“菜单后，展开”高级选项“，打开”网络模拟开关“并填写”网络模拟IP“，并点击”确认选择“即开启自定义网络模拟服务。

三、动态分析释放衍生物自动分析

查看报告过程中，若需要对样本释放出的衍生物进行动态分析，无需下载衍生物文件，只需选定待分析样本，点击”点击上传分析“按钮，沙箱显示上传成功后，回到沙箱”任务列表“页面即可看到该衍生物的分析记录。若样本分析完成，刷新报告页面可看到该衍生物显示”“查看报告”按钮，点击亦看查看报告。