安全处理恶意软件样本以进行 API 测试

本指南介绍如何安全地向 Verisys 杀毒 API 提交恶意软件样本以进行测试。对于大多数开发人员而言，广泛认可的标准 EICAR 测试文件已足以验证 API 集成。该无害文本文件可触发杀毒检测，从而确认 API 功能正常。然而，少数开发人员，尤其是从事安全岗位的人员，可能需要真实的恶意软件样本。处理真实恶意软件本质上具有危险性，存在意外执行和网络传播等风险。本指南强调，目标仅为上传样本进行扫描，而非分析或执行。这种“仅上传”的方式相较于传统恶意软件分析，显著降低了风险。本指南提出一种安全环境方案，包括专用的物理 Linux 主机和隔离的沙箱虚拟机。主机负责下载受密码保护的恶意软件压缩包，而沙箱虚拟机则负责解压并将样本上传至 API。沙箱虚拟机的网络访问权限受到严格限制，仅允许出站连接至 Verisys API 端点。该架构防止了解压后的恶意软件二进制文件与不受限制的网络访问共存。沙箱虚拟机设计为临时性，每次扫描后从快照恢复并丢弃。要搭建此环境，需要一台支持硬件虚拟化的独立物理机。该物理机运行最小化 Linux 发行版，并安装 KVM/QEMU 以实现虚拟化。随后配置沙箱虚拟机的专用虚拟网络，确保其与主机网络隔离。