CAPE

CAPE（配置与载荷提取）是一款先进的恶意软件分析工具，可增强传统沙箱的功能。它源自Cuckoo沙箱框架，引入了自动化功能以解构恶意软件并提取其配置和载荷。该自动化通过动态解包与分析实现，结合Yara规则进行分类，并利用网络（Suricata）和行为（API）签名进行全面的恶意软件评估。

CAPE提供公开的社区版，可在 https://capesandbox.com 获取。

尽管配置与载荷提取是最初设定的目标，但推动该项目发展的最初动力是CAPE中调试器的开发：为了从任意恶意软件家族中提取配置或解包后的载荷，而不依赖进程转储（最终会被攻击者规避），必须实现指令级监控与控制。CAPE中的新型调试器遵循最大化利用处理器硬件、几乎完全避免使用Windows调试接口的原则，能够在引爆过程中通过Yara规则或API调用程序化设置硬件断点，从而对恶意软件进行隐蔽的仪器化与操控。这使得能够捕获指令追踪，或执行控制流操纵、内存区域转储等操作。