【多图超详细】从零开始安装配置Cuckoo sandbox并提交样本进行分析 (1)

最新推荐文章于 2024-07-25 17:00:29 发布
最新推荐文章于 2024-07-25 17:00:29 发布
阅读量795 收藏 18
点赞数 17
文章标签: web安全 网络安全 开发语言 php 笔记 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/abao6690/article/details/140688914
版权

1. 功能介绍

**沙盒(Sanbox)**是一种将未知、不可信的软件隔离执行的安全机制。恶意软件分析沙盒一般用来将不可信软件放在隔离环境中自动地动态执行,然后提取其运行过程中的进程行为、网络行为、文件行为等动态行为,安全研究员可以根据这些行为分析结果对恶意软件进行更深入地分析。

Cuckoo sandbox是一款用 Python和C/C++ 编写的开源的自动化恶意软件分析系统,且跨越Windows、Android、Linux和Darwin四种操作系统平台。

1.1主要功能
  • 跟踪记录恶意软件所有的调用状况;
  • 恶意软件文件行为:恶意软件执行过程中创建新文件、修改文件、删除文件、读取文件或下载文件的行为;
  • 获取恶意软件的内存镜像;
  • 以 PCAP 格式记录恶意软件的网络流量;
  • 获取恶意软件执行过程中的屏幕截图;
  • 获取执行恶意软件的客户机的完整内存镜像

Cuckoo 可以分析的几乎所有的文件格式

1.2 架构设计

Cuckoo 的架构也比较简单,在 Host 机上运行 Cuckoo 主程序,多个 Guest 机通过虚拟网络与 Host 机相连,每个 Guest 机上有一个 Cuckoo Agent 程序,用来做 Cuckoo 的监控代理,结构图如下:

1561800241859

其实就是说,在host的web上提交的文件,会被分配到各个guest上运行,收集该文件调用的状况。

2. 安装与配置

2.1 配置情况

主机(host):Ubuntu 18.04 LTS + 4Gb Ram + VirtualBox6.0 + Cuckoo Sandbox 2.0.4

客户机(guest):Windows XP professional SP3 + 512Mb Ram

主机与客户机之间的连接方式:Host-Only + IP转发

2.2 主机环境准备

  1. 更换源

    自带的源不太稳定,所以更换为国内的源,如阿里源。操作如下:

    sudo gedit /etc/apt/sources.list



    deb http://mirrors.aliyun.com/ubuntu/ disco main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ disco main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ disco-security main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ disco-security main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ disco-updates main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ disco-updates main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ disco-backports main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ disco-backports main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ disco-proposed main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ disco-proposed main restricted universe multiverse

    删除缓存:

    sudo rm -vfr /var/lib/apt/lists/*

    更新:

    sudo apt-get update



    sudo apt-get upgrade

  2. 安装cuckoo的依赖

    • sudo apt-get install git mongodb libffi-dev build-essential python-django python python-dev python-pip python-pil python-sqlalchemy python-bson python-dpkt python-jinja2 python-magic python-pymongo python-gridfs python-libvirt python-bottle python-pefile python-chardet tcpdump -y

    • 安装Tcpdump并确认安装无误:

      sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump



      getcap /usr/sbin/tcpdump

      输出:

      /usr/sbin/tcpdump = cap_net_admin,cap_net_raw+eip则表示已正确安装

    • 安装Pydeep:

      wget http://sourceforge.net/projects/ssdeep/files/ssdeep-2.13/ssdeep-2.13.tar.gz/download -O ssdeep-2.13.tar.gz
tar -zxf ssdeep-2.13.tar.gz
cd ssdeep-2.13
./configure
make
sudo make install

      确认pydeep安装无误:

      ssdeep -V #检查版本



      pip show pydeep  #再安装一次看看会不会提示已安装

    • 安装Volatility:

      先安装Volatility的依赖

      sudo pip install openpyxl ujson pycrypto distorm3 pytz

      安装volatility

      git clone https://github.com/volatilityfoundation/volatility.git



      cd volatility



      python setup.py build



      python setup.py install

      确认volatility安装无误

      python vol.py -h

  3. 安装Cuckoo:

    直接pip安装,别整啥乱七八糟的,到2019.06.29为止,最新版本应该是2.0.7,笔者试过2.0.1,2.0.4,2.0.6,2.0.7,发现从2.0.4开始之后的版本都差不多,倒是之前的版本差异太大,很难配置成功。

    1. 先执

最低0.47元/天 解锁文章
Cuckoo沙箱各Ubuntu版本安装及使用_cuckoo sandbox 安装(1)
04-07 1174
启动webcuckoo web#通过http://localhost:8000#也可以通过ip访问 http://host ip:8080#如果需要设置后台可以使用nohup或者&#无法绑定结果服务器”错误意味着杜鹃无法 绑定用于获取分析日志的组件,发生这种情况是因为您的虚拟接口关闭或丢失。需要重新启动接口进行绑定#新建网卡。
ubuntu20下Cuckoo SandBox安装教程--大踩坑版(一)
Jianxin_YU的博客
04-05 1万+
ubuntu20下Cuckoo SandBox安装说明天坑1: 系统架构天坑2: python2.7python2.7安装pip2.7安装天坑3: Cuckoo依赖安装 说明 本文主要参考:Ubuntu20.04系统Cuckoo sandbox所需环境搭建及安装(超详细) Cuckoo SandBox官网:Cuckoo link 在做网络安全的小伙伴们安装Cuckoo SandBox的时候肯定发现了,大部分的文章都基于ubuntu14,然而到现在ubuntu已经更新到ubuntu20,很基于ubunt
超详细从零开始安装配置Cuckoo sandbox提交样本进行分析
热门推荐
Bingoooooo_的博客
06-30 1万+
从零开始安装配置Cuckoo sandbox提交样本进行分析 文章目录从零开始安装配置Cuckoo sandbox提交样本进行分析1. 功能介绍1.1主要功能1.2 架构设计2. 安装配置2.1 配置情况2.2 主机环境准备2.3 客户机环境准备2.4 基本网络配置2.5 IP转发2.6 启动客户机的agent2.6 配置cuckoo3. 提交样本进行分析 1. 功能介绍 **沙盒(Sanb...
Cuckoo sandbox安装
最新发布
myeeygo的博客
07-25 1148
综合版的Cuckoo Sandbox安装教程,涉及了一些安装时可能会遇到的问题
Ubuntu16.04安装Cuckoo SandBox
qq_35713842的博客
04-08 1729
建议先清空默认的iptables规则,如果没有/etc/iptables-rule文件,可以自己通过iptables-save > /etc/iptables-rules 写入规则。在virtualBox页面,点击工具,然后点击网络,即可进入当前的创建网络页面。打开虚拟机的网络设置,设置IP与网关,网关地址要和网卡上的一致,才可以链接外网。不出意外的话,就会出现以下的截,然后你可以看到你运行时候的各种截出来。点击创建,即可添加一个仅主机网络,我们使用默认的56.1网段即可。
Cuckoo安装过程(初学者)
青之羽
12-13 3674
以上为实现镜像地址修改,为了后面下包的时候快一点。 下面为安装cuckoo基本依赖包: 安装MongoDB数据库 安装mysql服务端和客户端: 安装tcpdump 安装setcap 安装yara: 安装volatiltiy 安装net-tools用于进行ip指令查看: 安装cuckoo: 如下所示发生报错,应该是pip版本太低的问题,所以进行pip更新操作,然后重新进行cuckoo更新: 发现出...
cuckoo沙箱安装
09-03
- *1* *2* *3* [【超详细从零开始安装配置Cuckoo sandbox提交样本进行分析](https://blog.youkuaiyun.com/Bingoooooo_/article/details/94248229)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630...
Ubuntu20.04系统Cuckoo sandbox所需环境搭建及安装(超详细)
ElsonHY的博客
05-24 9998
请勿叫我大神,我只是互联网的搬运工~ 前言 本教程以Ubuntu20桌面版作为示范,服务器版同样适用,但可能稍微麻烦一点,服务器版本的话安装Xmanage套装使用可能会相对轻松一些,由于后面会使用到vbox的使用,对vbox命令行操作不熟悉的小伙伴用xmanage可能会相对轻松一点。 提示:以下是本篇文章正文内容,下面案例可供参考 安装ubuntu20桌面版 步骤1:转到https://ubuntu.com/download/desktop下载下载.iso。 步骤2:使用您选择的虚拟机监控程序(VMWa
Cuckoo SandBox V2.0.6恶意文件行为分析沙箱的安装
weixin_42651205的博客
11-19 4622
主机安装Ubuntu 16.04 LTS,手动分区,不然可能找不到2t的硬盘,如果还是提示找不到,先进入系统试用修复启动引导,再重装 客户机安装windows7 Professional,下载镜像在virtualbox里安装即可 一、安装主机ubuntu #安装完成后,安装其他所需软件 sudo apt-get install git mangodb libffi-dev build-essent...
Cuckoo沙箱安装步骤
weixin_55437391的博客
10-09 2340
本文主要介绍如何安装安全沙箱sandbox 过程中需要注意的事项,在安装过程中参考了不少网上资料。
Ubuntu20.04安装Cuckoo
JxufeCarol的博客
02-28 3273
Ubuntu20.04上安装布谷鸟沙箱Cuckoo
Cuckoo沙箱各Ubuntu版本安装及使用
小白的博客
10-07 2655
Cuckoo 是一款用Python 编写的开源的自动化恶意软件分析系统
Cuckoo沙箱各Ubuntu版本安装及使用_cuckoo sandbox 安装
04-07 1357
启动webcuckoo web#通过http://localhost:8000#也可以通过ip访问 http://host ip:8080#如果需要设置后台可以使用nohup或者&#无法绑定结果服务器”错误意味着杜鹃无法 绑定用于获取分析日志的组件,发生这种情况是因为您的虚拟接口关闭或丢失。需要重新启动接口进行绑定#新建网卡。
cape2 sandbox安装
anzhuangguai的专栏
12-27 1286
1 安装 ubuntu20 LTS 2 CODING | 一站式软件研发管理平台 下载代码 安装 sudo ./cape2.sh all cape 192.168.1.1 | tee /tmp/cape.log 3 创建KVM虚机
Cuckoo Sandbox - 一个自动化恶意软件分析系统
gitblog_00059的博客
03-14 559
Cuckoo Sandbox - 一个自动化恶意软件分析系统 去发现同类优质开源项目:https://gitcode.com/ 项目简介 Cuckoo Sandbox 是一个开源的自动化恶意软件分析系统。它可以帮助安全研究人员、企业和组织快速、准确地分析可疑文件的行为、网络流量和其他相关数据。通过在隔离的虚拟环境中运行文件记录其行为,Cuckoo Sandbox 可以提供全面的报告,揭示恶意软件...
Cuckoo沙箱-模拟点击事件
梦想专栏
09-17 273
恶意样本不一定直接运行就能表现出恶意行为。例如msi格式,就需要先行安装。或者有部分exe执行需要点击按钮才能继续下一步,因此就很有必要在样本执行的时候自动去点击按钮,以便样本继续运行,挖掘出其恶意行为。
自动化恶意软件分析系统Cuckoo安装配置详解
D_R_L_T的博客
01-28 6363
0×00 简述  沙盒(Sanbox) 是一种将未知、不可信的软件隔离执行的安全机制。恶意软件分析沙盒一般用来将不可信软件放在隔离环境中自动地动态执行,然后提取其运行过程中的进程行为、网络行为、文件行为等动态行为,安全研究员可以根据这些行为分析结果对恶意软件进行更深入地分析Cuckoo 是一款用 Python 编写的开源的自动化恶意软件分析系统,它的主要功能有: 跟踪
sflock工具:结合Cuckoo Sandbox进行样本拆解与分析
Cuckoo Sandbox是一个开源的自动化恶意软件分析系统,它允许用户提交可疑文件进行分析提供详细的报告来描绘文件的行为。sflock可以与Cuckoo Sandbox集成,将拆分后的恶意软件样本传递给Cuckoo进行进一步的深入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值