CuckooSanbox自定义规则 - self.mark_ioc() 、self.mark()用法

于 2018-06-07 11:25:56 发布
阅读量348 收藏
点赞数
分类专栏: CuckooSanbox
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/80606675
版权

签名如下:

from lib.cuckoo.common.abstracts import Signature
class TestWriteFile(Signature):
    name = "test_write_file"
    description = "test file api calls"
    severity = 40
    categories = ["test"]
    authors = ["Danyang.Wang"]
    minimum = "2.0"

    filter_apinames = set(["NtWriteFile","NtOpenFile","NtCreateFile"])

    def on_call(self, call, process):
        if call["api"] in ["NtOpenFile","NtCreateFile"] and call["status"]:
            if "1.txt" in call["arguments"]["filepath"]:
                self.mark_ioc("file222",call["arguments"]["filepath"])
        elif call["api"] == "NtWriteFile" and call["status"]:
            self.mark(buffer_test=call["arguments"]["buffer"],test=123456)

    def on_complete(self):
        return self.has_marks()

看图说话,命中规则后,沙箱报告显示如下:

这里写图片描述
可以看到这俩函数其实没啥区别,mark_ioc每次只能标记一项显示

self.mark_ioc("file_name","1.txt")

self.mark可以同时显示多个数据在一项,而且传参方式不同,注意,这里file_name,不能用字符串表示了

self.mark(file_name="1.txt",file_size=1024)
FFE4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值