#安装其他特定依赖项:
sudo aptitude install libjpeg-dev
2.1 安装python2.7:
2.1.1 源码编译安装:
wget https://www.python.org/ftp/python/2.7.12/Python-2.7.12.tgz -O Python-2.7.12.tgz
tar -zvxf Python-2.7.12.tgz
cd Python-2.7.12
./configure
make && make install
cd
#查看py版本
python -V
2.1.1 联网安装:
sudo add-apt-repository universe
sudo apt update
#如果之前安装了python2,可以跳过这一步
apt install python2.7
2.1.2 查看是否配置了python替代方案
# 查看是否配置了python替代方案
update-alternatives --list python
# 将python2设置为1
update-alternatives --install /usr/bin/python python /usr/bin/python2 2
# 将python3设置为2
update-alternatives --install /usr/bin/python python /usr/bin/python3 1
# 查看python替代方案
update-alternatives --list python
# 如何切换版本
# update-alternatives --config python
2.2 安装pip(在python2的前提下):
#升级pip版本
python -m pip install --upgrade pip
#降低pip版本,指定pip19.2
python -m pip install pip==19.2
#卸载pip
python -m pip uninstall pip
2.2.1 脚本安装,推荐安装方式
#下载get包
wget https://bootstrap.pypa.io/pip/2.7/get-pip.py -O get-pip.py
python get-pip.py
#检测版本
python -m pip --version
2.2.2 python安装,匹配py版本的pip
apt-get upgrade python-setuptools -y
apt-get install python-pip
2.2.3 更换国内源
#创建pip文件夹 并创建pip.conf文件
cd ~
mkdir .pip
touch pip.conf
sudo chmod 755 pip.conf
gedit pip.conf
#pip.conf文件内容为:
[global]
index-url=https://pypi.tuna.tsinghua.edu.cn/simple
timeout = 6000
[install]
trusted-host=pypi.tuna.tsinghua.edu.cn
disable-pip-version-check = true
#更新
python -m pip install --upgrade pip
2.3 使用virtualenv虚拟环境-推荐使用:
virtualenv部署时拥有自己的安装目录,不与其它任何环境共享一个库,能够管理Python的版本和库。
如同时开发多个应用时,这些应用需要共用一个Python,应用A在2.6版本,应用B需要2.7版本,这时候会出现版本不统一情况,利用virtualenv可以为每个应用做一个“隔离”的Python运行环境。
sudo pip install virtualenv
sudo pip install virtualenvwrapper
#设置环境变量
export WORKON_HOME=$HOME/.virtualenvs
export VIRTUALENVWRAPPER_PYTHON=/usr/bin/python3
export VIRTUALENVWRAPPER_VIRTUALENV=/usr/local/bin/virtualenv
source /usr/local/bin/virtualenvwrapper.sh
#激活环境变量
source ~/.bashrc
#创建虚拟环境的根目录
$ mkdir $HOME/.virtualenvs
#创建虚拟环境
sudo virtualenv /opt/cuckoo
#指定虚拟环境的python版本
sudo virtualenv --python /usr/bin/python2 /opt/cuckoo
#默认情况下虚拟环境不会依赖系统环境的site-packages,如果想依赖系统环境的site-packages,可以使用--system-site-packages来设置。
#sudo virtualenv --system-site-packages /opt/cuckoo
#启动虚拟环境
source /opt/cuckoo/bin/activate
#ubuntu使用apt安装软件包时报错,内容如下:
#E: 无法获得锁 /var/lib/dpkg/lock-frontend - open (11: 资源暂时不可用) E: 无法获取 dpkg 前端锁 (/var/lib/dpkg/lock-frontend),是否有其他进程正占用它?
sudo rm /var/cache/apt/archives/lock
sudo rm /var/lib/dpkg/lock
sudo rm /var/lib/dpkg/lock-frontend
sudo apt-get update
#如无用,重启机器
#无法找到软件包
#这种情况一般换源解决-https://mirrors.tuna.tsinghua.edu.cn/help/ubuntu/(清华源)
#然后选择 对于版本的源 之后修改
在安装的部分用proxychains挂代理速度会快很多
2.4 安装数据库-任意数据库都可以,utf8编码,推荐默认的mongodb,使用其他需要配置更换
sudo apt-get install mongodb
sudo apt install libmysqld-dev -y
sudo apt install mysql-client -y
sudo apt install libmysqlclient-dev -y
sudo apt install build-essential -y
sudo apt install libmysqld-dev -y
2.5. 安装tcpdump-抓包
2.5.1 Cuckoo以根权限运行
#为避免不必要的麻烦建议使用
sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump
getcap /usr/sbin/tcpdump
2.5.1 Cuckoo不以根权限运行
apt-get install tcpdump apparmor-utils -y
#注意核对tcpdump位置
aa-disable /usr/sbin/tcpdump
#Tcpdump需要根权限,但如果您不希望Cuckoo以根权限运行,因此必须将特定的Linux功能设置为二进制文件,提前创建cuckoo用户
groupadd pcap
useradd cuckoo
usermod -a -G pcap cuckoo
chgrp pcap /usr/bin/tcpdump
setcap cap_net_raw,cap_net_admin=eip /usr/bin/tcpdump
getcap /usr/sbin/tcpdump
2.6 安装pydeep-文档分析
sudo wget http://sourceforge.net/projects/ssdeep/files/ssdeep-2.13/ssdeep-2.13.tar.gz/download -O ssdeep-2.13.tar.gz --no-check-certificate
tar -zxvf ssdeep-2.13.tar.gz
cd ssdeep-2.13/
sudo ./configure
sudo make
sudo make install
#查看是否安装成功
ssdeep -V
cd -
2.7 安装volatility-内存取证工具
#在指定文件夹下安装,这里我在opt目录安装的
cd /opt
sudo apt-get install git
#这里可能需要挂梯子:
sudo git clone https://github.com/volatilityfoundation/volatility.git
cd volatility
#将构建它类型
sudo python setup.py build
#安装
sudo python setup.py install
#查看帮助信息,确认是否安装成功
python vol.py -h
cd -
#如缺失distorm3,下载后重新构建:
python -m pip install distorm3 pycrypto
sudo python setup.py build
python setup.py install
#查看帮助信息,确认是否安装成功
python vol.py -h
cd -
#提取内存中保留的 cmd 命令使用情况(第二条命令是将镜像的注册表项导出进行查看,第一条通常执行时间较长)
python vol.py -f memory --profile=WinXPSP2x86 cmdscan
volatility_2.6_win64_standalone.exe -f memory.dmp --profile=Win7SP1x64 dumpregistry --dump-dir ./
#选择性的安装
#PIL:图片处理库
python -m pip install pil
#OpenPyxl:读写excel文件
python -m pip install openpyxl
#ujson:JSON解析
python -m pip install ujson
#yara-规则匹配
sudo aptitude install libtool flex yara -y
2.9 安装m2crypto-完整支持OpenSSL,用于加解密相关
一定要0.24.0版本,安装比这新的版本会接着报错,比这个版本低的暂没遇到问题
2.9.1 第一种方式:使用apt-get(以Python2版本进行测试的)
2.9.1.1 默认版本
sudo aptitude install python-m2crypto -y
2.9.1.1 固定版本
python -m pip install m2crypto==0.24.0
#如果报错,试试下面的命令,固定py版本安装
python2.7 -m pip install M2Crypto
2.9.1 第二种方式:从源码进行安装((兼容Python2,3))
sudo apt-get install build-essential python3-dev python-dev libssl-dev swig
python -m pip install https://gitlab.com/m2crypto/m2crypto/repository/python3/archive.tar.gz
2.9.1 第三种方式:pip安装(不兼容Python3)
python -m pip install M2Crypto
2.9.1.1 安装libssl:
#OpenSSL的最新稳定版本是1.1.1系列,ubuntu18.04内置了1.1.0g版本的openssl
#查看本机版本
openssl version
2.9.2.1.1 更新版本
#官网查看对应Ubuntu对应版本
http://security.ubuntu.com/ubuntu/pool/main/o/openssl/
#使用下面的apt命令更新Ubuntu存储库并安装软件包编译的软件包依赖项:
sudo apt update
sudo aptitude install build-essential checkinstall zlib1g-dev
#转到’/ usr / local / src’目录并使用wget下载OpenSSL-1.1.1b的源代码:
cd /usr/local/src/
sudo wget https://www.openssl.org/source/openssl-1.1.1b.tar.gz
#现在解压缩openssl-1.1.1b.tar.gz文件,然后转到’openssl-1.1.1b’目录:
sudo tar -xf openssl-1.1.1b.tar.gz
cd openssl-1.1.1b
#使用以下命令配置和编译OpenSSL:
sudo ./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared zlib
sudo make
sudo make test
#注意:
#prefix和–openssldir =设置OpenSSL的输出路径。
#shared = force来创建共享库。
#zlib =使用zlib库启用压缩。
#编译过程完成后,使用以下命令安装OpenSSL:
sudo make install
#OpenSSL安装在’/usr/local/ssl’目录中。
#接下来,我们将为OpenSSL配置共享库。 新的OpenSSL二进制文件将从’/usr/local/ssl/lib’目录加载库文件。
#转到’/etc/ld.so.conf.d’目录并创建新配置文件’openssl-1.1.1b.conf’:
cd /etc/ld.so.conf.d/
sudo vim openss1-1.1.1b.conf
#粘贴openssl库路径目录:
/usr/local/ssl/lib
#现在使用以下命令重新加载动态链接:
sudo ldconfig -v
2.9.2 命令安装:
#默认最高版本
python -m pip install M2Crypto
3.0 安装guacd
#可选择安装项,位CUCKOO web界面中的远程控制功能提供RDP,VNC和SSH的转换层
sudo aptitude install libguac-client-rdp0 libguac-client-vnc0 libguac-client-ssh0 guacd
3. 安装cuckoo-沙盒
3.1 安装依赖
sudo aptitude install libtiff5-dev libjpeg8-dev zlib1g-dev libfreetype6-dev liblcms2-dev libwebp-dev tcl8.6-dev tk8.6-dev python-tk
3. 2 安装dpkt-解析pcap包
python -m pip install --ignore-installed dpkt==1.8.7
sudo aptitude install python-pypcap
3.3 安装pyopenssl加密库
python -m pip install pyopenssl pycrypto
3. 3 安装cuckoo
3.3.1 下载setuptools-打包分发工具
python -m pip install -U pip setuptools
#查看版本,确认是否安装成功
python -m pip list | grep setuptools
3.3.2 安装cuckoo
python -m pip install -U cuckoo
3.3.3 根目录启动cuckoo-所有安装完成最后启动
#启动web
cuckoo web
#通过http://localhost:8000
cuckoo web runserver 0.0.0.0:8080
#也可以通过ip访问 http://host ip:8080
#如果需要设置后台可以使用nohup或者&
nohup cuckoo
nohup cuckoo web runserver 0.0.0.0:8080
#无法绑定结果服务器”错误意味着杜鹃无法 绑定用于获取分析日志的组件,发生这种情况是因为您的虚拟接口关闭或丢失。需要重新启动接口进行绑定
$ If the hostonly interface vboxnet0 does not exist already.
#新建网卡
VBoxManage hostonlyif create
Configure vboxnet0.
VBoxManage hostonlyif ipconfig vboxnet0 --ip 192.168.56.1 --netmask 255.255.255.0
3.3.3 设置cuckoo web界面登陆密码
cd ~/.cuckoo/conf
sudo gedit cuckoo.conf
#如不使用密码,为空
3.3.3 下载 Cuckoo Community
#其中包含了300多个恶意软件行为签名,可用于简化我们对结果的分析。
#需要梯子
cuckoo community
#下载好的 community 压缩包,也可以通过如下命令直接导入:
wget https://github.com/cuckoosandbox/community/archive/master.tar.gz
cuckoo community --file master.tar.gz
3.4 安装virtualbox
从 Oracle 仓库软件源中安装 VirtualBox:
#安装依赖
python -m pip install openpyxl ujson distorm3 pytz
3.4.1 使用以下命令导入Oracle公共密钥:
wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | sudo apt-key add -
wget -q https://www.virtualbox.org/download/oracle_vbox.asc -O- | sudo apt-key add -
3.4.2 将VirtualBox APT仓库添加到您的系统:
echo "deb [arch=amd64] http://download.virtualbox.org/virtualbox/debian $(lsb_release -cs) contrib" | \
sudo tee -a /etc/apt/sources.list.d/virtualbox.list
3.4.3 更新程序包列表并安装最新版本的VirtualBox:
sudo apt update
输入 sudo apt install virtualbox- 并点击 tab 键以查看可用于安装的各种 VirtualBox 版本,然后通过补全命令来选择其中一个版本。
sudo apt install virtualbox-7.0
#使用命令行删除:
#sudo apt remove virtualbox virtualbox-*
3.4.4 启动
virtualbox
3.4.5 报错:
1、QStandardPaths: XDG_RUNTIME_DIR not set, defaulting to ‘/tmp/runtime-root’
export XDG_RUNTIME_DIR=/usr/lib/
export XDG_RUNTIME_DIR=/usr/lib/ >> /etc/profile
export RUNLEVEL=3 >> /etc/profile
source /etc/profile
2、其他问题建议直接重启试试
source /opt/cuckoo/bin/activate
sudo cuckoo -d
virtualbox
3.4.6 安装VirtualBox Extension Pack(实际不影响使用)
#VirtualBox Extension Pack为来宾计算机提供了多种有用的功能,例如虚拟USB 2.0和3.0设备,对RDP的支持,图像加密等等。
#查看virtualbox的版本号:
vboxmanage -V
#这里查询为6.1.40r154048
#然后去http://download.virtualbox.org/virtualbox/找到自己对应的版本,使用wget进行下载。
wget http://download.virtualbox.org/virtualbox/6.1.40/Oracle_VM_VirtualBox_Extension_Pack-6.1.40-154048.vbox-extpack
3.4.6.1 安装扩展包
sudo vboxmanage extpack install Oracle_VM_VirtualBox_Extension_Pack-6.1.40-154048.vbox-extpack
#查看扩展包是否安装成功:
vboxmanage list extpacks
#设置扩展包特性(为后面使用远程桌面做准备):
vboxmanage setproperty vrdeextpack "Oracle VM VirtualBox Extension Pack"
#导入自选扩展包:
#VBoxManage extpack install 包名
#如果报了一个错误为:QXcbConnection: Could not connect to display
#查看DISPLAY是否被定义
echo $DISPLAY
echo "export QT_QPA_PLATFORM='offscreen'" >> ~/.bashrc && source ~/.bashrc
4. 安装客户机(命令行)
4.1 新建虚拟机
#注意:指定文件夹下完成!
cd /opt && sudo chmod 777 -R /opt
4.1.1 创建虚拟机:
VBoxManage createvm --name cuckoo --register
#设置操作系统win7:
VBoxManage modifyvm cuckoo --ostype Windows7
#查看支持的类型:
VBoxManage list ostypes
4.1.2 设置虚拟机参数
#设置内存:
VBoxManage modifyvm cuckoo --memory 1500
#建立虚拟磁盘(系统盘)100G:
VBoxManage createmedium --filename cuckoo_HDD_SYS_100G.vdi --size 100000
#建立虚拟磁盘(home盘)100G:
VBoxManage createmedium --filename cuckoo_HDD_HOME_100G.vdi --size 100000
#创建存储控制器IDE、SATA:
VBoxManage storagectl cuckoo --name IDE --add ide --controller PIIX4 --bootable on
VBoxManage storagectl cuckoo --name SATA --add sata --controller IntelAhci --bootable on
#关联虚拟磁盘:
VBoxManage storageattach cuckoo --storagectl SATA --port 0 --device 0 --type hdd --medium cuckoo_HDD_SYS_100G.vdi
VBoxManage storageattach cuckoo--storagectl SATA --port 1 --device 0 --type hdd --medium cuckoo_HDD_HOME_100G.vdi
#开启嵌套虚拟化
VBoxManage modifyvm cuckoo --nested-hw-virt on
#设置虚拟机使用的CPU、内存和显存,这里分别设置为4核、32G和30M.
VBoxManage modifyvm cuckoo --ioapic on
vboxmanage modifyvm cuckoo --cpus 4 --memory 1500 --vram 30 --hwvirtex on
#设置启动顺序
VBoxManage modifyvm cuckoo --boot1 disk --boot2 cdrom --boot3 floppy --boot4 disk
#设置I/O:
vboxmanage modifyvm cuckoo --ioapic on
#设置远程桌面连接:
VBoxManage modifyvm cuckoo --vrdeport 3389 --vrdeaddress ""
#打开远程桌面(需要安装扩展包之后支持):
VBoxManage modifyvm cuckoo --vrde on
4.1.3 关联镜像文件
#下载镜像-https://msdn.itellyou.cn/,镜像需下载在Ubuntu文件中,推荐存放opt:
VBoxManage storageattach cuckoo --storagectl IDE --port 0 --device 0 --type dvddrive --medium /opt/cn_windows_7_professional_with_sp1_vl_build_x86_dvd_u_677939.iso
4.1.4 开启虚拟机:
#开启对应虚拟机
VBoxHeadless -startvm "cuckoo"
#格式化输出信息:
VBoxManage showvminfo cuckoo -details -machinereadable
#查看虚拟机列表及正在运行虚拟机列表:
VBoxManage list vms && vboxmanage list runningvms
4.2 网络设置
#新增一个网卡,默认vboxnet:
VBoxManage hostonlyif create
#设置网卡2为nat
VBoxManage modifyvm cuckoo --bridgeadapter1 nat
#修改网络模式为nat:
VBoxManage modifyvm cuckoo --nic2 nat
#自动分配的IP是10的私有网段,修改网段:
VBoxManage modifyvm cuckoo --natnet2 "192.168.214.0/24"
#设置hostonly模式:
VBoxManage modifyvm cuckoo --nic1 hostonly
#设置到网卡1:
VBoxManage modifyvm cuckoo --hostonlyadapter1 vboxnet0
#验证主机和客户机上能ping通
#客户机上设置固定IP-随意设置56网段内即可:
192.168.56.xx
4.3 文件传输-samba
#虚拟机要开启共享,传输agent.py,pillow-2.7,win32-py2.7
#Ubuntu安装Samba服务及配置共享文件夹:
4.3.1 下载samba
apt-get install samba samba-common
4.3.2 创建共享文件
mkdir /root/share
4.3.3 修改权限
chmod 777 -R /root/share
cp /etc/samba/smb.conf /etc/samba/smb.conf.bak
vim /etc/samba/smb.conf
4.3.4 设置账户密码
sudo smbpasswd -a nanshou
#配置samba配置文件-最后加上:
sudo vi /etc/samba/smb.conf
[share]
comment = share folder
browseable = yes
path = /home/nanshou/share
create mask = 0700
directory mask = 0700
valid users = nanshou
force user = nanshou
force group = nanshou
public = yes
available = yes
writable = yes
4.3.5 重启服务
service smbd restart
#客户机上,网络里输入:
\192.168.56.1\share
#可以看到主机共享文件夹
4.4 安装python环境、控制脚本
#控制脚本位置:
.cuckoo/agent/agent.py
安装python2.7,pollow
#配置环境变量
4.5 win客户端禁用UAC,关闭防火墙/自动更新
#控制面板进行操作即可
#打开gpedit.msc-关闭防火墙、系统更新等
4.6开启管理员权限
#管理员打开cmd
net user administrator /active:yes
#切换administrator登录
4.7拍摄快照
#拍摄快照:
VBoxManage snapshot cuckoo(虚拟机名) take test1(快照名)
#通过某一快照恢复:
VBoxManage snapshot "vmname" restore "snapname"
5. 主机配置(命令行)
5.1修改配置文件:
cd ~/.cuckoo/conf
sudo gedit cuckoo.conf
machinery = virtualbox
[resultserver]
ip = 192.168.56.1 #This is the IP address of the host
port = 2042 #leave default unless you have services running
[cuckoo]
//每次启动都要检查更新很费时间,关闭
version_check = no
auxiliary.conf:
[sniffer]
#Enable or disable the use of an external sniffer (tcpdump) [yes/no].
enabled = yes
#Specify the path to your local installation of tcpdump. Make sure this
#path is correct.
tcpdump = /usr/sbin/tcpdump(注意这里的位置)
virtualbox.conf:
machines = cuckoo //你的虚拟机名字
[你的虚拟机名字]
label = 你的虚拟机名字
platform = windows
ip = 192.168.56.101 # IP address of the guest
snapshot = 你创建的快照名字
interface = vboxnet0
5.2 设置IP转发
如果只设置了仅主机模式,就要设置路由转发,使
sysctl -w net.ipv4.ip_forward=1
echo 1 > /proc/sys/net/ipv4/ip_forward
永久开启:
vim /etc/sysctl.conf
net.ipv4.ip_forward=1 //前的#注释取消
sysctl -p /etc/sysctl.conf
通过设置IP转发,可以实现客户机通过主机的ens33网卡访问网络
#iptables -A FORWARD -o ens33 -i vboxnet0 -s 192.168.56.0/24 -m conntrack --ctstate NEW -j ACCEPT
#iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
#iptables -A POSTROUTING -t nat -j MASQUERADE
4. 配置virtualbox(界面)
4.1 新建win7虚拟机
4.1.1 新建虚拟电脑
在控制台新建虚拟电脑,名称使用cuckoo,版本使用windows7
4.1.2 下载win7镜像,安装
下为win7下载迅雷链接:
ed2k://|file|cn_windows_7_professional_with_sp1_vl_build_x86_dvd_u_677939.iso|2502909952|935E5B4B754527BE3C238FA6ABDD9B86|/
在存储中选择下载好的iso镜像
按照提示安装即可,选择家庭网络
安装完成后关掉防火墙和自动更新
4.2 配置virtualbox网络
添加virtualbox的网卡并添加到win7中,在管理-> 主机网络管理器中添加网络
在虚拟主机的设置中选择vboxnet0的网络
在主机中设置主机的ip
192.168.56.101
255.255.255.0
192.168.56.1
114.114.114.114
8.8.8.8
4.3 配置ubuntu的网络
ubuntu中编辑有线连接
192.168.56.10
255.255.255.0
192.168.56.2
114.114.114.114
配置完成之后重启win7
4.4 配置iptables转发
现在ubuntu的网络状况如下:
在ubuntu中执行命令
sudo -i
sysctl -w net.ipv4.ip_forward=1
echo 1 > /proc/sys/net/ipv4/ip_forward
gedit /etc/sysctl.conf // 在这里去掉net.ipv4.ip_forward=1 前的#号,保存
sysctl -p /etc/sysctl.conf
exit
然后配置iptables
sudo iptables -A FORWARD -o ens33 -i vboxnet0 -s 192.168.56.0/24 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A POSTROUTING -t nat -j MASQUERADE
sudo gedit /etc/network/interfaces
在interfaces文件的下边添加两行
pre-up iptables-restore < /etc/iptables.rules
post-down iptables-save > /etc/iptables.rules
修改resolv.conf文件里边的nameserver
sudo gedit /etc/resolv.conf
将nameserver 的127.0.0.1 改为nameserver 114.114.114.114
4.5 共享文件夹
4.5.1 创建共享文件夹
在ubuntu新建share文件夹共享到win7,执行命令:
cd ~
sudo mkdir share
sudo cp ~/.cuckoo/agent/agent.py ~/share
在share文件夹中下载两个python的文件
sudo wget https://www.python.org/ftp/python/2.7.13/python-2.7.13.msi
从http://www.rsdown.cn/down/166571.html#download网站中下载PIL-1.1.7.win32-py2.7.exe
4.5.2 共享文件夹
在设备->安装增强功能中安装增强功能, 同vmware中的vmware tools
然后在虚拟机设置中选择设备->共享文件夹,添加一个共享文件夹
将刚刚的创建的share文件夹添加在这里,然后将win7关机
在设置里将启动顺序设为硬盘最先
重新启动之后看到共享文件夹
4.6 安装python和PIL
点击安装python,安装完成后将agent.py 改名成agent.pyw之后和PIL文件一起移动到c盘下的Python27
点击PIL-1.1.7.win32-py2.7安装PIL,安装好后双击agent,没有弹窗但是开放了8000端口,在cmd中运行
netstat -an
监听8000 配置成功,就可以了
4.7 配置administrator自动登陆及权限
4.7.1 配置组策略
配置组策略在windows组件的附件管理器中增加中等风险文件类型包含列表,运行文件就不会出现未识别软件弹窗
运行命令打开组策略:
gpedit.msc
4.7.2 关闭UAC
在计算机的控制面板中选择用户账户和家庭安全,在用户账户中选择更改用户账户控制设置,将选项拉到最下端就可以关掉UAC
4.7.3 将administrator账户开启并取消密码登陆
在计算机管理->系统工具->本地用户和组->用户属性取消掉administrator账号勾选
然后在win+R 中输入
control userpasswords2
应用后直接在密码窗中确定即可
注销后选择administrator用户进行登陆,在Python27目录中重新运行agent.pyw并在cmd中使用netstat -an检查端口是否开放
4.8 生成备份供cuckoo使用
在备份 控制->生成备份 ,名字叫snapshot
4. 配置virtualbox(Linux)
4.1 安装 Linux 主机
首先,在主机端为您的机械平台准备网络。 如果您将 VirtualBox 与仅主机接口一起使用,并且您有一个接口,则无需安装其他依赖项。vboxnet0
如果您使用 QEMU,您可能需要安装其他 主机上的依赖关系:
sudo apt install uml-utilities bridge-utils
接下来,获取要为其配置接口的虚拟机列表 从。 例如,、、、、等。 对于每个 VM,在主机上预配置网络分流接口,需要 避免必须以 root 身份启动,例如:conf/qemu.conf``ubuntu_x32``ubuntu_x64``ubuntu_arm``ubuntu_mips``ubuntu_mipsel
sudo tunctl -b -u cuckoo -t tap_ubuntu_x32
sudo ip link set tap_ubuntu_x32 master br0
sudo ip link set dev tap_ubuntu_x32 up
sudo ip link set dev br0 up
sudo tunctl -b -u cuckoo -t tap_ubuntu_x64
sudo ip link set tap_ubuntu_x64 master br0
sudo ip link set dev tap_ubuntu_x64 up
sudo ip link set dev br0 up
请注意,如果您以其他用户身份运行 Cuckoo,请在 -u 之后替换 ‘‘cuckoo’’ 与您的用户。
4.2 准备 x32/x64 Ubuntu 18.04 Linux 客户机
4.2.1 确保代理自动启动
通过共享,将agent文件传入ubuntu客户机
最简单的方法是将其添加到crontab中:
sudo apt install uml-utilities bridge-utils
$ sudo crontab -e
#第一次可能会需要选择模式,选择vim模式
#在linux客户机中自启设置sh文件,为了确保文件自启成功同时设置py文件
@reboot python /path/to/agent.sh
@reboot python /path/to/agent.py
注意:如果是第一次执行“crontab -e”,会提示选择编辑器
sudo select-editor:
如果是第一次执行“crontab -e”,会提示选择编辑器,选择合适的编辑器即可。我选择的是“2”,vim。
#以后若要该改变选择, 输入select-editor
sudo select-editor
4.2.2 在虚拟机内部安装依赖项
sudo apt-get update
sudo apt-get install python2.7
sudo apt update
sudo apt install python-pip
pip install --upgrade pip
sudo apt install net-tools
sudo apt-get install systemtap gcc patch linux-headers-$(uname -r)
安装内核调试符号:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C8CAB6595FDFF622
codename=$(lsb_release -cs)
sudo tee /etc/apt/sources.list.d/ddebs.list << EOF
deb http://ddebs.ubuntu.com/ ${codename} main restricted universe multiverse
#deb http://ddebs.ubuntu.com/ ${codename}-security main restricted universe multiverse
deb http://ddebs.ubuntu.com/ ${codename}-updates main restricted universe multiverse
deb http://ddebs.ubuntu.com/ ${codename}-proposed main restricted universe multiverse
EOF
sudo apt-get update
sudo apt-get install linux-image-$(uname -r)-dbgsym
#(适用于 Debian 9 amd64)安装内核调试符号:
sudo apt-get install linux-image-$(uname -r)-dbg
4.2.3 修补 SystemTap tapset
以便 Cuckoo 分析器可以正确解析 输出:
wget https://raw.githubusercontent.com/cuckoosandbox/cuckoo/master/stuff/systemtap/expand_execve_envp.patch
wget https://raw.githubusercontent.com/cuckoosandbox/cuckoo/master/stuff/systemtap/escape_delimiters.patch
sudo patch /usr/share/systemtap/tapset/linux/sysc_execve.stp < expand_execve_envp.patch
sudo patch /usr/share/systemtap/tapset/uconversions.stp < escape_delimiters.patch
4.2.4 编译内核扩展
wget https://raw.githubusercontent.com/cuckoosandbox/cuckoo/master/stuff/systemtap/strace.stp
sudo stap -p4 -r $(uname -r) strace.stp -m stap_ -v
#这里可能会出现报错,详细的解决办法参照
删除现有安装
**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**
**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!**
**由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**
**如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)**
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
### 学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
#### 网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份**我自己整理的网络安全入门工具以及使用教程和实战。**
#### 项目实战
最后就是项目实战,这里带来的是**SRC资料&HW资料**,毕竟实战是检验真理的唯一标准嘛~
#### 面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
**一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
[外链图片转存中...(img-b0T187FW-1712827836520)]
[外链图片转存中...(img-oByhZLll-1712827836521)]
[外链图片转存中...(img-RSYBI5xy-1712827836521)]
[外链图片转存中...(img-CXXwLcta-1712827836521)]
[外链图片转存中...(img-70gSwxdj-1712827836521)]
[外链图片转存中...(img-gs6cGXR5-1712827836522)]
**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!**
**由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**
**如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)**
[外链图片转存中...(img-WlclK6Vj-1712827836522)]
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
### 学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
#### 网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份**我自己整理的网络安全入门工具以及使用教程和实战。**
#### 项目实战
最后就是项目实战,这里带来的是**SRC资料&HW资料**,毕竟实战是检验真理的唯一标准嘛~
#### 面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
**一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
[外链图片转存中...(img-VwI47X5E-1712827836522)]
扫一扫
3119
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
