3.获取恶意软件的内存镜像;
4.以 PCAP 格式记录恶意软件的网络流量;
5.获取恶意软件执行过程中的屏幕截图;
6.获取执行恶意软件的客户机的完整内存镜像
Cuckoo 可以分析的文件类型包括但不限于:Windows 可执行文件、DLL 文件、PDF 文件、MS Office 文件、URL 和 HTML 文件、PHP 脚本文件、CPL 文件、VB 脚本文件、ZIP 压缩包、JAR 文件、Python 脚本文件、APK 文件、ELF 文件
Cuckoo 的架构也比较简单,在 Host 机上运行 Cuckoo 主程序,多个 Guest 机通过虚拟网络与 Host 机相连,每个 Guest 机上有一个 Cuckoo Agent 程序,用来做 Cuckoo 的监控代理。
1.3 官方文档
官方wiki https://github.com/cuckoosandbox/cuckoo/issues?page=3&q=is%3Aissue+is%3Aopen
官方手册 http://docs.cuckoosandbox.org/en/latest/installation/
参考资料:
中翻手册 https://cuckoo-sandbox.readthedocs.io/zh_CN/latest/introduction/index.html
布谷鸟沙箱初体验 http://www.freebuf.com/articles/system/123816.html
布谷鸟安装配置详解 http://www.freebuf.com/sectool/108533.html
VBoxManage命令详解 http://dong717.iteye.com/blog/1967739
2. 环境准备
使用ubuntu16.04(最契合版本),cuckoo完全兼容python2.7,为避免不必要的环境问题,采用2.7以及pip2,并且使用虚拟环境管理-virtualbox,内部镜像推荐win7(实测为win10可能会出现WindowsError错误),如果是vmware安装,推荐使用兼容性Workstation 15.x,ubuntu版本选择Ubuntu 64位-因为配置低了不方便后续虚拟嵌套。
特殊说明:云上安装需要支持虚拟嵌套,目前华为云仅裸金属服务器及专属主机支持。具体可以询问云服务器客服。
Ubuntu下载:http://releases.ubuntu.com
安装其他依赖,更换国内源之后操作
#(1) 先把源文件复制到sources.list.old,备份
cd /etc/apt/ && sudo cp sources.list sources.list.old
#(2 ) 没有安装过vim 先安装 vim。安装完后修改
sudo apt-get install vim -y
#这里gedit也比较方便,不过注意执行需要以登录用户执行,如果不是root,加上sudo就好了
sudo vim /etc/apt/sources.list
18.04#将原来文件的内容全部注释/删除,添加清华源,由于我安装的是18.04的Ubuntu,所以下列以18.04举例
默认注释了源码镜像以提高 apt update 速度,如有需要可自行取消注释
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic main restricted universe multiverse
deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-updates main restricted universe multiverse
deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-updates main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-backports main restricted universe multiverse
deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-backports main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-security main restricted universe multiverse
# deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-security main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu/ bionic-security main restricted universe multiverse
deb-src http://security.ubuntu.com/ubuntu/ bionic-security main restricted universe multiverse
预发布软件源,不建议启用
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-proposed main restricted universe multiverse
# deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-proposed main restricted universe multiverse
#更新
sudo apt-get update
#安装aptitude,先使用较为匹配的依赖
sudo apt install aptitude gedit -y
#安装编译工具和基本库:
sudo aptitude install gcc g++ make build-essential zlib1g-dev libssl-dev libffi-dev
#安装通用依赖项:
sudo aptitude install zlib1g-dev libbz2-dev libreadline-dev libsqlite3-dev wget curl llvm libncurses5-dev libncursesw5-dev xz-utils tk-dev git mongodb swig libtiff5-dev libjpeg8-dev libfreetype6-dev liblcms2-dev libwebp-dev tcl8.6-dev tk8.6-dev
#安装Python及其相关依赖项:
sudo aptitude install python