Общее описание решения Cuckoo Sandbox

Cuckoo Sandbox — открытая платформа для автоматического разбора подозрительных образцов: файл или URL запускается в изолированной гостевой среде, хост фиксирует активность (процессы, файловая система, сеть, при необходимости — память) и на основе модулей обработки формирует отчёт. По сути это конвейер «задача → песочница → модули обработки → веб-интерфейс и отчёты», а не один монолитный антивирус: гибкость даёт набор подключаемых обработчиков и выбор гипервизора.

Официальная документация описывает хост под Linux или macOS, гостевые Windows и Linux, маршрутизацию на анализ (в т.ч. INetSim, Tor, VPN), рабочий каталог Cuckoo ($CWD) и обновления пакета. В материале Arachnid.UTM разобран узкий сценарий: хост Ubuntu с VirtualBox и гостевая Windows 10 x64 — так проще воспроизвести стенд, чем охватывать в одном тексте все варианты из upstream. Требования к образу гостевой ОС и языку установки приведены там же, в инструкции по конфигурации (раздел про создание гостевой ВМ).

Кратко о возможностях, на которые опирается классическая установка Cuckoo:

  • Изоляция и откат — анализ идёт во ВМ; после задачи гостевая система возвращается к снимку диска.

  • Агент на госте — связь с хостом и сценарии анализа; без него «песочница» для Cuckoo неполноценна.

  • Маршрутизация и фейковый интернет — в наших шагах чаще фигурирует связка с INetSim, чтобы вредонос не «висел» на недоступных DNS/HTTP.

  • Отчёты и веб-интерфейс — просмотр результатов, повторная выгрузка сигнатур сообщества и т.д. (детали — в разделах ниже).

Полная установка и настройка под описанный профиль — на странице Конфигурация и сценарии настройки Cuckoo Sandbox. Термины и логика узла совпадают с официальной книгой по ссылке выше; при расхождении ориентируйтесь на вашу версию Cuckoo и на комментарии в файлах в каталоге $CWD.

Следующая страница: Детальная архитектура Cuckoo Sandbox.