[請教] Windows Sandbox 點樣做到一開波就自動 Run PowerShell Script 分析 Malware?

Chen Weiming 20 信譽點數
2026-07-06T04:12:40.6766667+00:00

咁多位巴打/師兄,想請教下有關 Windows Sandbox 自動化嘅問題。

我哋 Security Team 嚟緊想做 Automation,執靚個 Malware analysis workflow。目標係想每一次開一隻全新嘅 Windows Sandbox instance 嗰陣,系統都可以自動即刻隊個 custom PowerShell script 去行。

睇過吓 Doc,知要搞個自訂嘅 .wsb config file,但試咗幾次都仲未搞得好。想問下入面個 <LogonCommand><FileDownload> (或者相關 Folder Mapping) 其實條 Structure 實際要點寫先啱?

有冇邊位大佬玩過可以些牙 (Share) 下個範本?唔該晒先!

商務用 Windows | Windows 365 企業版
0 則留言 沒有留言

1 個回答

排序依據: 最實用
  1. VPHAN 38,520 信譽點數 獨立顧問
    2026-07-06T06:10:07.76+00:00

    陈伟明

    您所遇到的问题肇因于无效的设置参数,因为官方的 Windows Sandbox 配置文件架构并不支持文件下载标签。 为了将您自定义的 PowerShell 脚本导入隔离环境以进行恶意软件分析,您必须在 .wsb 配置文件中使用对应文件夹 (mapped folders) 架构。 透过定义主机文件夹路径,并将其直接对应至访客文件夹路径(例如 C:\Users\WDAGUtilityAccount\Desktop\Scripts),沙盒在开机时就会立即挂载您的本地目录。 强烈建议您在此设定区块中将只读(read-only)属性设为 true,如此一来,沙盒环境就无法将恶意变更写回您的实体主机。 一旦您的脚本目录安全地对应至内置的 WDAGUtilityAccount 用户配置文件,您就可以通过登录命令 (logon command) 区块来自动执行该脚本。 由于沙盒在默认初始化时会采用受限制的 PowerShell 执行原则,因此您的登录字符串必须明确呼叫 PowerShell 执行文件,并暂时略过此原则,才能让脚本顺利运行。 您必须在配置文件中嵌入精确的命令字符串,例如:powershell.exe -ExecutionPolicy Bypass -File C:\Users\WDAGUtilityAccount\Desktop\Scripts\Analyze.ps1。 执行这份 .wsb 档案将会立即配置一个干净的沙盒执行个体,挂载您的只读脚本,并无缝触发您的自动化工作流程。

    希望这个答案能为您带来一些有用的信息。 如果对您有帮助,请点击「接受答案」。 如果您有任何疑问,欢迎随时留言。

    维凡

    此回答有幫助嗎?

    0 則留言 沒有留言

您的回答

答案可由問題作者標示為「已接受」,而由仲裁者標示為「推薦」,這可協助使用者知道答案解決了作者的問題。