CuckooSanbox自定义规则 - on_call函数参数详解

之前我们了解到在on_call函数中有三个参数，分别是self、call、process

今天在查看Cuckoo源码的时候发现了关于on_call函数中的call参数的一些东西

详情可以查看Cuckoo项目源码的：cuckoo-modified-master\modules\processing\behavior.py文件的281行和317行部分

CALL参数的详细信息

call["timestamp"]    // int 调用API时的时间戳
call["thread_id"]    // str 调用API的线程ID
call["caller"]       // int 哪里调用的当前API
call["parentcaller"] // int 上一层函数的地址
call["category"]     // str Win32 函数类型
call["api"]          // str API 名称
call["repeated"]     // int API调用次数
call["status"]       // bool 函数释放调用成功
call["return"]       // API返回值
call["arguments"]    // API调用时，传入的参数名称和值，不同的API参数名称和值都不一样

PROCESS参数的详细信息

{
    process_path: u'C:\\Users\\Administrator\\AppData\\Local\\Temp\\CreateFile.exe'), 
    calls:[], 
    track:True, 
    pid:4184, 
    process_name:u'CreateFile.exe'), 
    command_line: u'"C:\\Users\\Administrator\\AppData\\Local\\Temp\\CreateFile.exe" '), 
    modules:
    [
        {u'basename': u'CreateFile.exe', u'imgsize': 307200, u'baseaddr': u'0x11e0000', u'filepath': u'C:\\Users\\Administrator\\AppData\\Local\\Temp\\CreateFile.exe'},
        {u'basename': u'ntdll.dll', u'imgsize': 1572864, u'baseaddr': u'0x778d0000', u'filepath': u'C:\\Windows\\SysWOW64\\ntdll.dll'}, 
        {u'basename': u'kernel32.dll', u'imgsize': 1114112, u'baseaddr': u'0x77100000', u'filepath': u'C:\\Windows\\syswow64\\kernel32.dll'}, 
        {u'basename': u'KERNELBASE.dll', u'imgsize': 286720, u'baseaddr': u'0x75ae0000', u'filepath': u'C:\\Windows\\syswow64\\KERNELBASE.dll'},
        {u'basename': u'monitor-x86.dll', u'imgsize': 2117632, u'baseaddr': u'0x63dc0000', u'filepath': u'C:\\tmph2bhxn\\bin\\monitor-x86.dll'}, 
        {u'basename': u'msvcrt.dll', u'imgsize': 704512, u'baseaddr': u'0x772c0000', u'filepath': u'C:\\Windows\\syswow64\\msvcrt.dll'}
    ], 
    time:0, 
    tid:4188, 
    first_seen:datetime.datetime(2018, 6, 7, 14, 25, 29, 62500)), 
    ppid:4152, 
    type:‘'process'
}