安全分析师通常使用沙箱来判断文件或程序是否为恶意软件，但沙箱的功能远不止于此。本文介绍了沙箱的两个隐藏用途：作为免费网盘，它不限速、不限容量，方便存储和管理工具；同时，沙箱还可作为杀软使用，其多引擎检测能力远超单机杀软，加上背后分析师团队的人工迭代升级，能更有效地识别潜在威胁。此外，文章还提出了对沙箱使用的两点建议，包括给样本添加人工归类标签以及增加历史样本全部重新分析功能。

📦沙箱除了用于判断文件或程序是否为恶意软件外，还可以作为免费网盘使用，提供不限速、不限容量的存储空间，方便安全分析师存放和管理各类工具。

🛡️沙箱具备多引擎检测能力，集合了多家安全厂商的杀软检测能力，相比单机杀软，能更全面地检测潜在威胁，提高恶意软件识别的准确性。

👨‍💻沙箱背后拥有专业的分析师团队，他们会不断迭代升级沙箱的分析能力，因此建议定期将软件在沙箱中运行，以便及时发现潜在的安全风险。

🏷️为了方便管理和查找，建议给沙箱中的样本添加人工归类标签，例如将办公工具、木马等进行分类，以便快速筛选和定位所需文件。

原创 ir社区 2022-09-02 08:00 北京

一般情况下，安全分析师们会使用沙箱判断该文件或者程序是否为恶意。殊不知这只是沙箱的其中一个用途，其实沙箱也可以当免费网盘使用，既不限速，还不限容量，妥妥白嫖。
识别威胁笔者常常会下载一些开源软件来提高分析效率，开源软件固然好用，但是风险不可控，尤其是现在供应链攻击频发。所以下载软件后会丢到s沙箱看看软件是不是恶意的，对外连接ip是否正常，这样使用的时候就不用担心电脑被黑。渐渐的每次新装虚拟机器都会直接在沙箱找工具，省了不少事。
巧当杀软通常情况下一台办公电脑就装一个杀软，多则三个（我没见过更多的）。其实沙箱也可以当杀软，沙箱本身有多引擎，多引擎的检测能力没话说，集合各家厂商的杀软检测能力，可比本机就一个360要强得多。另外沙箱除了多引擎还有背后的分析师团队，人工迭代升级沙箱的分析能力。所以主机装软件前丢沙箱跑一跑，然后沙箱再周期性跑跑这个软件，随着不断的迭代升级说不定就能发现有意思的东西。
几个建议1. 给样本做个人工归类标签，比如xxx 和 yyy都是办公工具，zzz是木马。这样筛选的时候方便，现在找个历史的工具得翻好几页。
2. 加一个历史样本全部重新分析功能，虽然这个样本在当时分析的时候不是恶意的，但是随着后端分析的升级迭代，最新的结果也得同步给用户呀，要不怎么知道电脑有木有被黑。

S沙箱地址：

https://s.threatbook.com/