Cuckoo恶意软件自动化分析平台创建
发布时间:2022-05-16 09:24:04 所属栏目:安全 来源:互联网
导读:Cuckoo是一款开源的自动化恶意软件分析系统,目前主要用于分析windows平台下的恶意软件,但其框架同时支持Linux和Mac OS。cuckoo能够自动化获取如下信息: 能够跟踪恶意软件进程及其产生的所有进程的win32 API调用记录; 能够检测恶意软件的文件创建、删除和
|
Cuckoo是一款开源的自动化恶意软件分析系统,目前主要用于分析windows平台下的恶意软件,但其框架同时支持Linux和Mac OS。cuckoo能够自动化获取如下信息: 能够跟踪恶意软件进程及其产生的所有进程的win32 API调用记录; 能够检测恶意软件的文件创建、删除和下载; 能够获取恶意软件进程的内存镜像; 能够获取系统全部内存镜像,方便其他工具进行进一步分析; 能够以pacp格式抓取网络数据; 能够抓取恶意软件运行时的截图。 Cuckoo支持分析多种文件格式,包括windows可执行文件,DLL文件,PDF文档,Office文档,恶意URL,HTML文件,PHP文件,CPL文件,VBS,ZIP压缩文件,jar文件,python程序等。这些完全依赖于他的分析模块。 测试环境是host:kali 2.0 x64,guest:windows xp sp3 en。 1.1 安装 复制 $ sudo apt-get install python python-pip $ sudo apt-get install mongodb $ sudo pip install -r requirements.txt 此处安装可能会出现问题,是系统所安装的python库与pip安装的库版本不一致导致的,因为系统所安装的python库往往比较旧,而pip安装的库比较新,且pip安装的其他库依赖较新的库,所以导致问题。解决方法是将系统的python库卸载,不过系统的某些python库存在依赖,需要用dpkg --purge --force-all 包名来强制卸载,然后再用pip来安装即可解决。 1.2 配置 软件安装好后,需要先创建一个虚拟机,可以利用virtualbox图形界面进行操作。Cuckoo在运行的时候,需要在host上监听一个地址,用于获取报告信息,而这个地址虚拟机必须能够访问的到。这里采用的网络配置是将虚拟机网卡调整为host-only模式,相当于虚拟机与host之间连接了一根网线。此时,host的网卡列表中会有一个类似vboxnet0的网卡,这就是host与虚拟机之间通信的网卡。虚拟机内部的ip地址可以自己设置,只要跟vboxnet0的地址在一个网段即可。默认情况下vboxnet0是192.168.56.1。虚拟机可以是192.168.56.101。  (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐