文章总结： CAPEv2是CuckooSandbox的活跃分支，作为主流开源恶意软件动态分析沙箱，其通过KVM/QEMU驱动Windows客户机VM执行样本，由Agent回传行为数据，PostgreSQL存储任务元数据，MongoDB存储分析报告。安装需确保CPU支持虚拟化并在BIOS中开启，硬件推荐8核以上CPU、16GB内存及500GBSSD，避免使用cape作为登录用户名且生产环境建议直接安装在物理机上。 综合评分： 85 文章分类： 恶意软件,安全工具

CAPEv2自动化分析沙箱安装指南

原创

pandazhengzheng pandazhengzheng

安全分析与研究

2026年5月25日 08:30 广东

在小说阅读器读本章

去阅读

CAPEv2 是 Cuckoo Sandbox 的活跃 fork，是目前最主流的开源恶意软件动态分析沙箱。

架构概览

CAPE 核心服务通过 KVM/QEMU 驱动 Windows Guest VM 执行样本，agent 监听指令回传行为数据，PostgreSQL 存储任务元数据，MongoDB 存储分析报告：

核心服务说明：

| 服务 | 作用 | | — | — | | cape.service | 主调度服务，管理分析任务和 VM 通信 | | cape-processor.service | 处理分析结果，提取行为数据 | | cape-web.service | Web 界面，端口 8000 | | cape-rooter.service | 网络路由与隔离管理 |

前置要求

硬件要求

| 组件 | 最低配置 | 推荐配置 | | — | — | — | | CPU | 4核，支持 VT-x/AMD-V | 8核以上 | | 内存 | 8 GB | 16 GB 以上 | | 存储 | 100 GB SSD | 500 GB SSD | | 网络 | 普通网卡 | 双网卡（分析网络隔离） |

⚠️ 重要提示：

• CPU 虚拟化支持必须在 BIOS 中开启（Intel VT-x 或 AMD-V）
• 不要用 cape 作为当前登录用户名，安装脚本会创建系统级 cape 用户
• 生产环境建议安装在物理机上，而非虚拟机中（嵌套虚拟化性能差）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全分析与研究 pandazhengzheng pandazhengzheng《CAPEv2自动化分析沙箱安装指南》