Для анализа малвари я часто использую эмулятор Speakeasy. Запускаю в докере, без выхода в интернет, сеть эмулируется внутри. Инструмент очень хороший, но проблема в том, что speakeasy "из коробки" имеет очень лимитированный api handlers, из-за чего не может нормально эмулировать реальные образцы малвари.

Для исправления этой проблемы я прогнал 6000 разнообразных (по размеру, по семейству, по типу) образцов через стоковый speakeasy. Во время этой задачи Claude Opus и OpenAI GPT-5.5 (все на max/xhigh effort) несколько ночей на ходу исправляли проблемы, которые мешали эмулировать тот или иной образец. Цикл исправлений был такой:

1. Запускаем образец в Speakeasy.
2. Эмуляция останавливается на missing/incomplete API handler или runtime edge.
3. LLM-агент анализирует падение, пишет API hook с правдоподобной Windows-семантикой.
4. Пересобираем Docker image и перезапускаем упавший образец

Образцы для прогона я брал из самых свежих архивов InTheWild (апрель, май 2026) у VXUG.

Из интересного:
было прогнано 231 семейство малвари
среднее время эмуляции образца 35 секунд
API вызовов - в среднем 8765, медианная 210
Суммарное время эмуляции всех 6000 образцов: 56.8 часа, 2.37 суток
Суммарное время эмуляции всех 6000 орбазцов + работа ИИ над исправлениями: 93.7 часа = 3.9 суток

В итоге обвязка над Speakeasy получилась около 40k строк кода, примерно 3.7k API хуков и 82 overlay-модуля.

Все эти наработки я выложил на гитхабе:

https://github.com/thatskriptkid/speakeasy-extensions

P.S. Советую вам также скачать все стандартные windows DLL и подложить их speakeasy через параметр -l или как описано в моей репе:

export SPEAKEASY_MODULE_DIR_X64=/path/to/windows/x64/modules

export SPEAKEASY_MODULE_DIR_X86=/path/to/windows/x86/modules