cuckoo沙箱安装笔记

最新推荐文章于 2024-02-18 10:50:04 发布
最新推荐文章于 2024-02-18 10:50:04 发布
阅读量435 收藏
点赞数 1
分类专栏: 逆向&恶意代码分析 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30101409/article/details/127027653
版权

参考资料:(用到的材料——cuckoo官方文档、教程、博客)
虚拟环境配置脚本
教程 : 油站 Setting Up Cuckoo Sandbox v2.0.7 on Ubuntu 18.04.4
博客
cuckoo官方文档

一、

  1. 官方文档里用到的,主要是安装如下的依赖包,以及各类配置,官网还有一些分析网络环境的路由规则
    #依赖包
$ sudo apt-get install python python-pip python-dev libffi-dev libssl-dev
$ sudo apt-get install python-virtualenv python-setuptools
$ sudo apt-get install libjpeg-dev zlib1g-dev swig
$ sudo apt-get install mongodb
$ sudo apt-get install postgresql libpq-dev

#配置virtualbox的安装源,并安装
$ echo deb http://download.virtualbox.org/virtualbox/debian xenial contrib | sudo tee -a /etc/apt/sources.list.d/virtualbox.list
$ wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | sudo apt-key add -
$ sudo apt-get update
$ sudo apt-get install virtualbox-5.2

#安装和配置tcpdump
$ sudo apt-get install tcpdump apparmor-utils
$ sudo aa-disable /usr/sbin/tcpdump

#配置tcpdump
$ sudo groupadd pcap
$ sudo usermod -a -G pcap cuckoo#这里cuckoo是用户名,可以自定义
$ sudo chgrp pcap /usr/sbin/tcpdump
$ sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump

#检查是否配置妥当
$ getcap /usr/sbin/tcpdump
#出现这个:/usr/sbin/tcpdump = cap_net_admin,cap_net_raw+eip

$ sudo apt-get install swig
$ sudo pip install m2crypto#原本有==0.24.0,可去掉

#接下来安装和配置虚拟机
sudo apt install virtualbox#测试安装的是virtualbox5.2
sudo usermod -a -G vboxusers cuckoo#将使用cuckoo的用户加入到vboxusers组
sudo apt install virtualenvwrapper
#然后跑这个[脚本](https://gist.github.com/jstrosch/de20131dda2aac5cd1116dd44b8f2474)
#跑完之后
source ~/.bashrc

#然后创建虚拟环境,官方推荐将cuckoo的环境放在虚拟环境中
mkvirtualenv -p python2.7 cuckoo-env#cuckoo现在只支持python2.7
#继续确保一下依赖完整
pip install -U pip setuptools

#然后就可以安装cuckoo了
pip install -U cuckoo

#接下来安装虚拟机iso
wget https://cuckoo.sh/win7ultimate.iso#速度有点慢,可以通过别的下载工具下载弄到虚拟机里
mkdir /mnt/win7#创建一个挂载点
#将挂载点的拥有者改为cuckoo,即使用cuckoo的用户的用户和组中
sudo chown cuckoo:cuckoo /mnt/win7/
sudo mount -o ro,loop win7ultimate.iso /mnt/win7#将ISO镜像文件挂载到挂载点

#再确保一下依赖装了没有,在前面的步骤应该基本上都安装完了
sudo apt-get -y install zlib1g-dev libjpeg-dev python-pip python-virtualenv python-setuptools swig

#先装vmcloak
pip install -U vmcloak
#首先创建一个网络配置
vmcloak-vboxnet0
#安装虚拟机
vmcloak init --verbose --win7x64 win7x64base --cpus 2 --ramsize 2048#这里最好不要配单核1G这种低配置环境,因为恶意代码很可能会检测到
#先复制一下虚拟环境然后再安装软件和创建快照
vmcloak clone win7x64base win7x64cuckoo
#可以看看vmcloak支持对系统直接安装什么包
vmcloak list deps
#举个例子,安装个ie11
vmcloak install win7x64cuckoo ie11
#对纯净的环境创建一些快照,--count指定创建几个快照,后面的ip会在创建的快照中递增
vmcloak snapshot --count 2 win7x64cuckoo 192.168.56.101
#查看创建好的虚拟机
vmcloak list vms

#目前基本准备好了,现在对cuckoo初始化,并进行配置
cuckoo init#会初始化一系列文件夹和文件在~/.cuckoo中,可以通过--cwd配置cuckoo的工作文件夹
cuckoo community --force#同步cuckoo最新的签名

二、

  1. 接下来主要配置这几个.conf文件:cuckoo.conf, route.conf, reporting.conf, virtualbox.conf
    • route将internet配成适配器的名字,通过ip a查看,是类似ens33, ens16的名字
    • reporting将mongodb配置enable为yes,原本默认时no;另外需要将singlefile中的选项配置为yes,否则看不了报告。
    • virtualbox将mode配置为gui,原本时headless,gui可以看到样本在虚拟机的活动。另外,需要将刚刚创建好的几个虚拟机快照添加到这里,快速的脚本为:
      while read -r vm ip; do cuckoo machine --add $vm $ip; done < <(vmcloak list vms)
    然后把配置文件中默认的cuckoo1删掉,包括[virtualbox]中的machines,以及后面的[cuckoo1]配置项
    • 配置网络
      sudo sysctl -w net.ipv4.conf.vboxnet0.forwarding=1
sudo sysctl -w net.ipv4.conf.eth0.forwarding=1

#其他一些网络规则
sudo iptables -t nat -A POSTROUTING -o eth0 -s 192.168.56.0/24 -j MASQUERADE
sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -s 192.168.56.0/24 -j ACCEPT

三、

  1. 使用
    • cuckoo-rooter
      cuckoo rooter --sudo -g cuckoo#这里cuckoo应该是指组,但是有时候不行,可以都试试用户名或者组
    • cuckoo
      cuckoo
    • cuckoo web
      这里需要将reporting.conf中的mongodb的enable项设置为yes,然后安装了mongodb,测试方法是命令敲mongo可以连接到mongodb服务
cuckoo web --host 127.0.0.1 --port 8080
      然后在浏览器的localhost:8080看到提交样本,接收结果的gui界面
    • cuckoo clean 命令可以重置环境

四、

  1. 遇到的问题:

  • too many file open / the maximum number of open files is low
    官方提供的解决方案,好像没啥效果或者打开方式不太对,不过这个问题暂时不影响使用,后面再解决

  • cuckoo rooter的问题,说是没有将cuckoo的user加入到正确的组
    解决方法,cuckoo rooter --sudo --group 这里试一下放用户名

  • 如果是自己安装的系统,比如自己装了个win10,需要自己安装python2.7和agent.py和

  • 解决上述问题的过程中还遇到了一个问题,也记录一下。就是不小心把当前用户移到cuckoo组,没有保留原来的组成员身份,就是usermod -g 而不是-a -G选项,导致sudo失效,而且因为环境是新装的,su没有设置密码。所以非常尴尬,没法通过sudo passwd来设置root密码,将当前用户加入sudo或sudofile中。
    解决方法:进系统的时候按shift,进入recovery mode,列表选root,设置对系统的写权限

    mount –o rw,remount /

    回车
    然后passwd root
    改好了密码重启,进系统之后重新将用户加入到sudo中,

    sudo usermod -aG sudo [username]

    或者

    su -
visudo
#加入下面这一行
<username>	ALL=(ALL) ALL
Lycactus
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Cuckoo沙箱各Ubuntu版本安装及使用_cuckoo sandbox 安装(1)
04-07 886
启动webcuckoo web#通过http://localhost:8000#也可以通过ip访问 http://host ip:8080#如果需要设置后台可以使用nohup或者&#无法绑定结果服务器”错误意味着杜鹃无法 绑定用于获取分析日志的组件,发生这种情况是因为您的虚拟接口关闭或丢失。需要重新启动接口进行绑定#新建网卡。
cuckoo布谷鸟沙箱安装与布置使用
小明的小书包Ya
12-01 5495
环境以及安装前的注意事项 不提供本次实现所涉及分析的木马 本次安装所需要构造的所有的环境的大体图 物理机(windows) 如果你的物理机装的是Ubuntu或者其他debian系统那就更好了,安装步骤会更快 虚拟机管理软件(安装在你的物理机上的) 推荐:VMware、virtualbox(不推荐) 虚拟机里的虚拟机 Ubuntu 16.04.4,16.04.6 (这两个版本...
vmcloak:自动生成和隐藏杜鹃沙箱的虚拟机
05-03
VMCloak 自动生成和隐藏杜鹃沙箱的虚拟机。 介绍 VMCloak是用于完全创建和准备供Cuckoo Sandbox使用的虚拟机的工具。 为了创建一个新的虚拟机,应准备一些配置值,该值稍后将由该工具使用。 依存关系 VMCloak依赖于生成新VM的过程中需要的几个工具和库。 Python 2.6以上 mkisofs / genisoimage 虚拟盒子 安装 在Ubuntu上,由于间接包含了cryptography Python软件包,因此需要一些软件包。 除VirtualBox ,所有软件包的安装都可以通过运行以下命令完成。 $ sudo apt-get install build-essential libssl-dev libffi-dev $ sudo apt-get install python-dev genisoimage $ sudo pip install v
CuckooSploit:基于Cuckoo沙箱的,基于Web的攻击的全面,自动分析的环境
05-16
杜鹃 由Check Point Software Technologies LTD。提供。 CuckooSploit是一个环境,可基于Cuckoo沙箱对基于Web的漏洞进行全面,自动化的分析。 该框架接受URL或PCAP文件,并在三个级别上工作: 漏洞利用过程-检测漏洞利用过程的核心组件(ROP链,shellcode和堆喷剂),以进行漏洞利用,但由于多种原因未能启动有效载荷,以及立即成功的漏洞利用后现象(例如,进程创建)。 全流程仿真-实现全Web仿真的方法,而不是一次仿真单个文件,因为漏洞利用工具包提供的许多漏洞利用方法都无法在网页上下文中运行(需要配置和/或自变量)。 Web流检测重定向序列链,JavaScript模糊处理,规避技术。 通过在OS /浏览器/插件版本的不同组合上使用完整的网络仿真,CuckooSploit可以提高恶意URL检测的速度,并提供可靠的结论,在某些
vmcloak
anzhuangguai的专栏
12-08 217
(转自VMCloak - Create a Virtual Machine the Easy Way - Avira Blog)We have been wrong.In 2012 when we started the iTES project (a project which deals with running vulnerable parts of a computer system in virtual machines; find out more in this blog post) our
2024HW 必备工具列表总结
最新发布
Libra1313的博客
02-18 866
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
Ubuntu18安装cuckoo沙箱
Hi~ o(* ̄▽ ̄*)ブ
06-17 1099
0X00 系统环境搭建 # Basic: $ sudo apt-get install python python-pip python-dev libffi-dev libssl-dev $ sudo apt-get install python-virtualenv python-setuptools $ sudo apt-get install libjpeg-dev zlib1g-dev swig # 为了使用基于Django的Web界面,需要MongoDB: $ sudo apt-get i
Cuckoo沙箱安装步骤
weixin_55437391的博客
10-09 2074
本文主要介绍如何安装安全沙箱sandbox 过程中需要注意的事项,在安装过程中参考了不少网上资料。
Ubuntu20.04安装Cuckoo
JxufeCarol的博客
02-28 2834
Ubuntu20.04上安装布谷鸟沙箱Cuckoo
三节点大数据环境安装教程1
大锤
10-13 2405
说明: 1.教程中出现字体加粗和加红的说明需要大家仔细阅读,按照步骤进行安装,都是比较重要的细节,如果有同学忘记或者跳过说明的步骤,环境大家的过程中问题会非常的多. 1.下载CentOS7 1.百度搜索centos–>2.点击centos官网连接–>3.点击DVD ISO–>4.点击http://ap.stykers.moe/centos/7.6.1810/isos/x86_64/CentOS-7-x86_64-DVD-1810.iso连接进下载. 2.安装虚拟机管理软件 Windows安
Cuckoo沙箱调研
梦想闹钟
12-20 475
cuckoo沙箱的详细介绍
Cuckoo Sandbox:Cuckoo Sandbox用于自动分析恶意软件-开源
05-13
布谷鸟沙箱使用组件来监视沙箱环境中恶意软件的行为; 与系统的其余部分隔离。 它提供对Windows,Linux,macOS和Android上任何恶意文件的自动分析。
cuckooautoinstall:布谷鸟沙箱的自动安装程序脚本
05-16
关于布谷鸟自动安装 。 自动安装脚本 什么是布谷鸟沙箱Cuckoo Sandbox是一个恶意软件分析系统。 这意味着什么? 这意味着您可以将任何可疑文件扔给它,并获得有关该文件在隔离环境中行为的详细信息的报告。 我们最初是在创建此程序的,是使痛苦的布谷鸟安装更快,更轻松,更轻松 支持系统 该脚本中的大多数都不依赖于发行版(当然,您必须在GNU / Linux上运行它),但是软件包安装,目前仅支持debian派生。 另外,鉴于我们使用专有的virtualbox版本(大多数情况下OSE版本不能满足我们的需求),因此此脚本要求他们在您的发行版的有一个debian存储库。 强迫发行版进入配置文件应使其在不受支持的文件中工作。 作者 @buguroo.com-@ fr33project David Francos Cuartero-XayOn - dfrancos @buguroo.
恶意程序在cuckoo沙箱中产生的Windows API序列数据集
01-05
将恶意程序在cuckoo沙箱中模拟运行得到Windows系统的API序列。可以使用机器学习算法来对不同的恶意程序进行划分(分类)。
ubuntu 18.04 lts 安装cuckoo沙箱踩坑记录-附件资源
03-05
ubuntu 18.04 lts 安装cuckoo沙箱踩坑记录-附件资源
vmcloak, Cuckoo沙箱自动虚拟机生成与掩蔽.zip
09-18
vmcloak, Cuckoo沙箱自动虚拟机生成与掩蔽 VMCloakCuckoo沙箱自动虚拟机生成与掩蔽。简介VMCloak是一个能够完全创建和准备虚拟机的工具,Cuckoo沙箱可以使用它。 为了创建一个新的虚拟机,应该准备一些配置值,这些...
vue使用v-cloak 解决闪烁问题
每天学习一点点
06-07 1354
v-cloak 实现的原理,是 vm 创建好之后,动态 移除 v-cloak 属性,从而 显示 插值表达式的节点应用场景:当网络比较卡的时候,我们可以为 最外层的 元素,添加 v-cloak ,防止用户看到 插值表达式 实例: <style> [v-cloak] { display: none; } </style> <!-- v...
沙箱工具】cuckoo sandbox之windows恶意文件分析环境搭建
A1_3_9_7的博客
12-29 1185
cuckoo sandbox是一个开源的恶意文件自动化分析系统,采用python和c/c++开发,跨越windows、android、linux和darwin四种操作系统平台,支持二进制的PE文件(exe、dll、com)、PDF文档、office文档、URLs、HTML文件、各种脚本(PHP、VB、Python)、jar包、zip文件等等几乎所有的文件格式。能分析恶意文件的静态二进制数据和动态运行后的进程、网络、文件等行为。对于恶意文件的初步分析定性具有很大帮助。
cuckoo】Ubuntu安装布谷鸟沙箱docker镜像
好记性不如烂笔头
12-16 1272
布谷鸟沙箱是一款自动化恶意软件分析工具。可以分析许多恶意文件,包括可执行文件、pdf文档、邮件、恶意网站等。
Cuckoo 沙箱安装
10-20
安装Cuckoo沙箱的过程需要依次进行以下几个步骤: 1. 安装VirtualBox和相关依赖项 2. 安装Cuckoo Sandbox依赖项 3. 配置Cuckoo Sandbox 4. 安装Cuckoo Sandbox 其中,第1步需要先安装VirtualBox,这可以通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值