Cuckoo Sandbox 启动过程遭遇的问题及解决过程

最新推荐文章于 2025-03-27 15:00:45 发布
最新推荐文章于 2025-03-27 15:00:45 发布
阅读量1.4k 收藏 1
点赞数 2
分类专栏: 产品安全与加固 文章标签: Cuckoo Sandbox 沙箱 Ubuntu
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/wojiushiwo945you/article/details/112261641
版权

背景

Unbuntu 操作系统对权限有相当高的要求,在部署 Cuckoo Sandbox 环境过程中,因安裝远程桌面用的是 root 帐号,并用 root 帐号创建的 vncserver 访问 virtualbox 创建的客机,折腾一圈,终于搞明白了 Cuckoo Sandbox 的启动流程。

核心就是权限一致,用什么帐号启动 Cuckoo ,所有的环境部署都应该基于该帐号,建议用普通帐号。

root 用户创建的实例

Cuckoo 客机是使用 root 用户运行 virtualbox 后创建的,此时用普通用户启动 cuckoo 时,即使配置文件正确,也会报客机连接失败问题:
在这里插入图片描述
异常信息为:

CuckooCriticalError: Please update your configuration. Unable to shut 'cuckoo1' down or find the machine in its proper state: The virtual machine 'cuckoo1' doesn't exist! 
Please create one or more Cuckoo analysis VMs and properly fill out the Cuckoo configuration!

切换到 root 帐号启动,此时错误信息为快照问题,原因是 virtualbox.conf 中配置了一个快照名称为 Cuckoo1SnapWin7,报错找不到这个快照:
Could not find a snapshot named 'Cuckoo1SnapWin7',后台异常信息如下。
在这里插入图片描述

切入到 Guest 中,创建一个同名快照:
在这里插入图片描述
再用 root 启动,总算见到曙光了:
在这里插入图片描述
此时虚拟机的客机节点状态变成了 saved:
在这里插入图片描述

浏览器访问

首先,运行 web 服务命令 cuckoo web runserver 0.0.0.0:8XXX ,如果以前运行过,需要先查找进程,kill 掉后重新执行。

其次,ufw allow 8XXX 放开访问端口。

就可以远程访问主页啦:
在这里插入图片描述

web 登录的密码

进入上述页面后,输入的密码是 cuckoo.conf 中的
在这里插入图片描述
这一点,官方文档中 web/local_settings.py 中一个注释掉的字段 SECRET_KEY ,这一直误导笔者,认为这个才是真正的网页秘钥。密码正确,页面却还是一直提示 “Secret incorrect. Please try again.” 为了找到密码定义的地方,开始跟踪 web 的源码。

后来放弃网页,直接走 API 来检测,看了官方文档中关于 cuckoo api 的用法,里面说在 cuckoo.conf 中配置 api_token ,看 API 秘钥时,发现了 web_secret 这个配置,输入对应的值,终于进入了控制页面。

在这里插入图片描述
至此,cuckoo sandbox 的环境总算搭建成功了!

启示录

Unbuntu 的权限控制很严格,所以搭建 cuckoo 时,处理安装需要切换 root 帐号外,其他使用虚拟机创建客户机节点、vncserver 远程桌面、以及启动 cuckoo 后台和 web ,都应该统一用一个普通帐号。

整体感觉是,部署过程中,可参考的、能直接解决问题的资料几乎没有,靠着自己分析错误信息,猜测可能的原因,一个个破解的。不得不说,运维工作不好干呐!

主要问题如下:

  1. pip 和 setuptools 升级的问题
  2. virtualbox 版本问题,开始用清华镜像,安装的是 5.1.38 版本,导致 win7 实例无法安装增强功能,换成阿里云镜像后,安装了一个 6.1 版本后,解决了
  3. cuckoo 启动帐号和和客户机安装不是同一个帐号导致启动报客户机未创建问题
  4. 客户机镜像与 virtualbox.conf 配置需要一直
  5. web 页面的 secret 密码配置的位置在 cuckoo.conf 中
问题求助,已解决cuckoo环境搭建 ubuntu16.04(host)+win7 (guest) ,虚拟机的win7 设置为hostonly模式无法访问外网
m0_37442062的博客
01-17 1096
所有的步骤都按照https://0x90e.github.io/cuckoo-installation/这篇博客进行,一开始程序运行良好,无报错。 我换了个校区之后,重新联网后(按理说不应该出现问题),发现虚拟机的win7 (设置为hostonly模式)无法访问外网。 注意到下面的问题: 1.在配置iptables时注意到了eth0的问题ubuntu16.04版本的wifi连接为wlp1s...
Ubuntu20.04系统Cuckoo sandbox所需环境搭建及安装(超详细图文)
ElsonHY的博客
05-24 1万+
请勿叫我大神,我只是互联网的搬运工~ 前言 本教程以Ubuntu20桌面版作为示范,服务器版同样适用,但可能稍微麻烦一点,服务器版本的话安装Xmanage套装使用可能会相对轻松一些,由于后面会使用到vbox的使用,对vbox命令行操作不熟悉的小伙伴用xmanage可能会相对轻松一点。 提示:以下是本篇文章正文内容,下面案例可供参考 安装ubuntu20桌面版 步骤1:转到https://ubuntu.com/download/desktop下载下载.iso。 步骤2:使用您选择的虚拟机监控程序(VMWa
cuckoo沙箱踩坑和填坑记录
Niatruc的博客
09-14 4722
使用cuckoo沙箱过程中不时出现一些错误,网上几乎没有中文的问题帖,解决方法都是在github找到。在此记录一些解决方法。 Cuckoo沙箱有一本Book,里边提到一些用户问过的问题。 文件地址:https://readthedocs.org/projects/cuckoo/downloads/pdf/latest/。 CuckooCriticalError: Unable to bind ResultServer on 192.168.56.1:2042 [Errno 99] Cannot
Cuckoo Sandbox 使用教程
gitblog_00046的博客
03-27 389
Cuckoo Sandbox 使用教程 cuckoo Cuckoo Sandbox is an automated dynamic malware analysis system 项目地址: https://gitcode.com...
cuckoo的配置以及启动场景问题分析
木小鱼的笔记
09-17 1万+
引言: 在安装完cuckoo的依赖包之后,我们来看看如何配置cuckoo,以及在cuckoo启动过程中碰到的各类问题分析。
ubuntu sever部署cuckoo
kawhiyu的博客
02-02 627
ubuntu server 上布置 cuckoo
Cuckoo配置过程错误及解决方法
weixin_43047908的博客
06-05 907
1111
Cuckoo Sandbox:Cuckoo Sandbox用于自动分析恶意软件-开源
05-13
**布谷鸟沙箱Cuckoo Sandbox)详解** ...对于下载的cuckoosandbox-cuckoo-2094228这个压缩包,里面包含了Cuckoo Sandbox的源代码和相关文件,用户可以直接编译和部署,以开始自己的恶意软件分析之旅。
Cuckoo-AWS:扩展到Cuckoo Sandbox开源项目,增加了对AWS云功能的支持,并允许在自动扩展基础架构上运行仿真
05-08
AWS上的Cuckoo SandBox 作者:Oran Kabarity @ Check Point软件技术 概述 该项目是Cuckoo Sandbox开源项目的扩展; 它增加了对AWS云功能的支持,并允许在自动扩展基础架构上运行仿真。 这篇博客文章详细介绍了基于...
cuckoo-osx-analyzer:用于Cuckoo Sandbox项目的OS X分析器
05-12
布谷鸟分析仪 我的旨在为项目构建OS X分析器。 :warning: 在制品 :warning: 用法 另请参阅: 和 来宾机器设置 安装pt_deny_attach建议的pt_deny_attach内核扩展。 这是一个可选步骤,有关更多详细信息,请参见此。...
Cuckoo Sandbox
热门推荐
JochenZou的专栏
06-19 2万+
Cuckoo Sandbox 作者:JochenZou 转载请注明出处: 高级持续性威胁(APT)攻击检测和防御系统中,除了在各网络边界进行全流量捕获、异常流量检测等工作之外。还需要在终端对流量中提取和还原的负载进行动态分析。这里提到的动态分析主要是将分析样本引入可控虚拟环境,动态解析或运行样本,通过分析样本的动态行为来判断样本中是否包含恶意代码。基于沙箱技术的程序动态分析是当前恶意代码
恶意程序在cuckoo沙箱中产生的Windows API序列数据集
01-05
将恶意程序在cuckoo沙箱中模拟运行得到Windows系统的API序列。可以使用机器学习算法来对不同的恶意程序进行划分(分类)。
自动化恶意软件分析系统Cuckoo安装、配置详解
D_R_L_T的博客
01-28 6403
0×00 简述  沙盒(Sanbox) 是一种将未知、不可信的软件隔离执行的安全机制。恶意软件分析沙盒一般用来将不可信软件放在隔离环境中自动地动态执行,然后提取其运行过程中的进程行为、网络行为、文件行为等动态行为,安全研究员可以根据这些行为分析结果对恶意软件进行更深入地分析。 Cuckoo 是一款用 Python 编写的开源的自动化恶意软件分析系统,它的主要功能有: 跟踪
软件沙箱技术 – 安全分析沙箱Cuckoo Sandbox
abcd1f2的专栏
01-15 1万+
1.Cockoo的功能 Cockoo Sandbox是开源安全沙箱,基于GPLv3。目的是恶意软件(malware analysis)分析。使用的时候将待分析文件丢到沙箱内,分析结束后输出报告。很多安全设备提供商所谓云沙箱是同类技术,一些所谓Anti-APT产品也是这个概念。和传统AV软件的静态分析相比,Cuckoo动态检测。扔到沙箱的可执行文件会被执行,文档会被打开,运行中检测。和不少开源
cuckoo报错:[Errno 99] Cannot assign requested address
m0_37442062的博客
04-04 2116
昨天都一直正常运行,今天突然报错 CuckooCriticalError: Unable to bind ResultServer on 192.168.56.1:2042 [Errno 99] Cannot assign requested address. This usually happens when you start Cuckoo without bringing up the...
Cuckoo SandBox V2.0.6恶意文件行为分析沙箱的安装
weixin_42651205的博客
11-19 4646
主机安装Ubuntu 16.04 LTS,手动分区,不然可能找不到2t的硬盘,如果还是提示找不到,先进入系统试用修复启动引导,再重装 客户机安装windows7 Professional,下载镜像在virtualbox里安装即可 一、安装主机ubuntu #安装完成后,安装其他所需软件 sudo apt-get install git mangodb libffi-dev build-essent...
安装cuckoo出现的错误解决
root__user的博客
04-16 2757
错误: Error processing task #21: it appears that the Virtual Machine hasn't been able to contact back to the Cuckoo Host. There could be a few reasons for this, please refer to our documentation on the...
Cuckoo的配置与使用Ubuntu + VirtualBox + windows Xp SP3
朝歌
12-10 5953
cuckoo简介:Cuckoo基于虚拟机技术,使用中央控制系统和模块设计,结合python的自动化特征,已经是颇为自动化的恶意软件行为研究环境。独到的蜜罐网络研发的技巧,让Cuckoo可以轻而易举的进行URL分析、网络通讯分析、程序分析、pdf分析。个人推荐使用debian或ubuntu主机安装virtualbox当作Cuckoo Host,WinXP做guest。 运行环境:Ubuntu 14
cuckoo sandbox架构图
最新发布
04-29
<think>好的,我现在需要帮用户找到Cuckoo Sandbox的架构图,并解释其设计结构,特别是关于恶意代码分析的部分。首先,用户的问题提到了引用1到3,里面提到了Cuckoo Sandbox的架构组成、安装文档和网络配置。我需要整合这些信息,同时回顾之前的对话,确保符合用户的需求。 首先,引用1提到Cuckoo Sandbox由中央管理软件(Host machine)和分析虚拟机(Guest Machine)组成。Host负责管理样本分析,Guest是独立的执行环境。用户可能需要架构图来理解这两部分如何协作。此外,引用3提到Host需要监控Guest的网络流量,所以架构图可能包括网络配置部分,比如Host-Only模式。 接下来,用户在上一次的问题中讨论了恶意代码检测模型的评估,涉及准确率和误报率,以及ROC曲线。这可能意味着用户在进行恶意代码分析实验时,需要Cuckoo Sandbox的结构图来设计实验流程,或者理解沙箱如何收集行为数据供模型使用。 我需要确定如何获取架构图。根据引用2,官方文档和GitHub可能提供了架构图或相关说明。用户可能需要直接访问官方资源,比如官方手册的链接,或者GitHub仓库中的图片。另外,用户可能需要知道架构图中的关键组件,如Host、Guest、网络设置、行为监控模块等,以便理解数据流向和分析过程。 用户可能没有直接找到架构图,所以需要指导他们到正确的文档位置,或者描述架构的主要部分。例如,Host machine的任务是分配分析任务、收集报告,而Guest Machine执行样本并记录行为。网络方面,Host-Only模式确保所有流量经过Host,这对分析恶意软件的网络行为至关重要。 还需要考虑用户可能的深层需求,比如架构图是否有助于他们配置自己的沙箱环境,或者理解如何集成Cuckoo到现有的检测系统中。例如,用户提到的ROC曲线需要模型输出的概率值,这可能与Cuckoo收集的动态行为数据有关,因此架构图中的数据流部分对他们来说很重要。 最后,需要确保回答结构清晰,分点说明架构组成、数据流程、网络配置,并提供获取架构图的具体方法,如官方文档链接或GitHub仓库。同时,相关问题要围绕架构设计、网络配置、与其他工具集成等,帮助用户进一步探索。</think>#### 分步说明:Cuckoo Sandbox架构图与设计结构解析 --- ### 一、架构图获取方式 1. **官方文档直接获取** Cuckoo Sandbox的官方手册([http://docs.cuckoosandbox.org](http://docs.cuckoosandbox.org))中通常包含架构图,尤其在**安装配置**和**核心模块说明**部分。例如: - 在“Architecture Overview”章节中可找到完整的系统架构示意图[^2]。 - GitHub仓库的`docs`目录或Wiki页面可能提供更新的设计图(需检查最新提交记录)[^1]。 2. **技术论文与社区资源** 部分研究论文(如恶意代码分析相关文献)会引用Cuckoo的架构图,可通过Google Scholar搜索关键词`Cuckoo Sandbox architecture diagram`获取。 --- ### 二、核心架构组成(基于引用内容整合) #### 1. **中央管理软件(Host Machine)** - **功能**:任务调度、行为日志聚合、报告生成 - **关键模块**: - **任务队列管理器**:分配样本到不同Guest Machine - **行为分析引擎**:解析Guest上报的API调用、文件操作、注册表修改等数据 - **报告生成器**:输出JSON/HTML格式的行为分析报告[^1] #### 2. **分析虚拟机(Guest Machine)** - **设计特点**: - 独立隔离环境(如VMware/VirtualBox实例) - 预装代理程序(Cuckoo Agent),用于监控样本执行并上报行为数据[^3] - 支持多操作系统模板(Windows/Linux/Android) #### 3. **网络通信架构** - **Host-Only模式**: - Guest所有流量强制通过Host的虚拟网卡(如vboxnet0) - 支持流量镜像和协议级分析(如HTTP/DNS请求解析)[^3] - **流量捕获工具**: - 使用`tcpdump`或`mitmproxy`记录网络行为 - 结合Suricata进行威胁情报匹配(如C2服务器连接检测) --- ### 三、架构图关键组件示意图(文字描述) ``` +-------------------+ +---------------------+ | 中央管理软件 | | 分析虚拟机集群 | | (Host Machine) |<--->| (Guest Machines) | | - 任务调度 | | - 样本执行监控 | | - 行为日志存储 | | - 网络流量捕获 | | - 报告生成 | | - 系统调用追踪 | +-------------------+ +---------------------+ ↓ +-------------------+ | 网络分析模块 | | - Host-Only模式 | | - 流量镜像/解析 | +-------------------+ ``` --- ### 四、恶意代码分析实验中的应用 1. **动态行为捕获**: - Guest Machine内嵌钩子(Hooking)技术,监控样本的以下行为: - 文件系统操作(创建/删除/加密文件) - 进程注入(如`CreateRemoteThread` API调用) - 注册表篡改(如启动项修改) 2. **多维度数据关联**: - 将网络流量(如C2通信)与系统行为(如敏感文件访问)关联分析 - 示例:检测勒索软件同时触发文件加密和Tor网络连接的行为链 --- ### 五、扩展资源推荐 1. **GitHub仓库**: - [Cuckoo Sandbox官方GitHub](https://github.com/cuckoosandbox/cuckoo) 的`docs/images`目录可能包含架构图源文件(如`.svg`或`.png`)[^2] 2. **安装指南**: - 参考《Cuckoo沙箱Ubuntu版本安装及使用》中的配置步骤,理解架构实现细节[^2] ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值