CuckooSanbox自定义规则 - self.mark_ioc() 、self.mark()用法

最新推荐文章于 2022-02-09 16:08:48 发布
最新推荐文章于 2022-02-09 16:08:48 发布
阅读量410 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CuckooSanbox
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cssxn/article/details/80606675
本文介绍了一个Cuckoo沙箱中的签名示例,该签名用于检测文件写入行为。通过`NtWriteFile`等API调用来判断是否访问或创建了特定文件,并使用`mark_ioc`和`mark`函数来标记这些行为。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

签名如下:

from lib.cuckoo.common.abstracts import Signature
class TestWriteFile(Signature):
    name = "test_write_file"
    description = "test file api calls"
    severity = 40
    categories = ["test"]
    authors = ["Danyang.Wang"]
    minimum = "2.0"

    filter_apinames = set(["NtWriteFile","NtOpenFile","NtCreateFile"])

    def on_call(self, call, process):
        if call["api"] in ["NtOpenFile","NtCreateFile"] and call["status"]:
            if "1.txt" in call["arguments"]["filepath"]:
                self.mark_ioc("file222",call["arguments"]["filepath"])
        elif call["api"] == "NtWriteFile" and call["status"]:
            self.mark(buffer_test=call["arguments"]["buffer"],test=123456)

    def on_complete(self):
        return self.has_marks()

看图说话,命中规则后,沙箱报告显示如下:

这里写图片描述
可以看到这俩函数其实没啥区别,mark_ioc每次只能标记一项显示

self.mark_ioc("file_name","1.txt")

self.mark可以同时显示多个数据在一项,而且传参方式不同,注意,这里file_name,不能用字符串表示了

self.mark(file_name="1.txt",file_size=1024)
揭秘 Java Spring 的 IoC 容器
Java大师兄的博客
06-01 818
本文旨在深入解析Spring框架中IoC容器的工作原理和实现机制。我们将从设计理念出发,逐步深入到具体实现,帮助开发者理解Spring的核心机制,并掌握其最佳实践。文章首先介绍IoC的基本概念,然后深入分析Spring容器的实现原理,接着通过源码解读展示具体实现,最后讨论实际应用和优化策略。: 控制反转,一种设计原则,将对象的创建和依赖管理从应用程序代码转移到框架或容器: 依赖注入,IoC的一种实现方式,通过外部注入依赖对象Bean: Spring容器管理的对象实例。
usb enqueue dequeue
wing_7的博客
05-22 1176
该函数会根据DMA缓冲区的使用形式做不同的处理,若DMA支持Scatter-gather,则调用dwc3_prepare_one_trb_sg函数,否则调用dwc3_prepare_one_trb_linear函数,最终都是通过dwc3_prepare_one_trb将TRB和request绑定。端点是否忙碌通过DWC3_EP_BUSY标志判断。usb_ep_queue向非端点0提交USB请求的过程如下图所示,最终通过__dwc3_gadget_ep_queue函数提交。
CuckooSanbox自定义规则 - on_call函数参数详解
Sven的忘却日记
06-07 707
之前我们了解到在on_call函数中有三个参数,分别是self、call、process 今天在查看Cuckoo源码的时候发现了关于on_call函数中的call参数的一些东西 详情可以查看Cuckoo项目源码的:cuckoo-modified-master\modules\processing\behavior.py文件的281行和317行部分 CALL参数的详细信息 call["tim...
CuckooSandbox自定义规则 - self.mark_call,self.mark, self.has_mark函数正确使用方法
Sven的忘却日记
06-06 2252
刚接触Cuckoo这这款沙箱,在编写自定义规则时遇到很多困难,很多模板里面用的函数官网文档上没有太详细的说明。 只好自己写规则demo,和测试样本demo,再根据沙箱报告的结果去猜这个函数应该怎么正确使用. 在观摩github社区里面其他人共享的Signature模板时,发现别人使用了很多函数,不明白是干什么,常见的模板框架里至少有下面这两个函数 on_call(self, call, p...
CuckooSanbox自定义规则 - 签名版本导致服务启动不了
Sven的忘却日记
06-07 344
错误具体信息 * ERROR: ValueError: invalid version number ‘20’* 平时都是按照官方给的模板去修改签名,有个同事不小心把Signature的minimum字段,最小支持版本修改成了20,导致服务启动不了,修正后以及可以正常启动!...
CuckooSandbox 自定义规则-监控注册表
Sven的忘却日记
06-06 1295
目标:监控利用ATBroker,来达到自启动行为 思路:监控关键注册表写入 from lib.cuckoo.common.abstracts import Signature import re class TestReg(Signature): name = "test_reg" description = "just for test registry" se...
Swift之类、属性、方法与下标脚本
u013712343的博客
08-07 327
Swift 类 Swift 类是构建代码所用的一种通用且灵活的构造体。 我们可以为类定义属性(常量、变量)和方法。 与其他编程语言所不同的是,Swift 并不要求你为自定义类去创建独立的接口和实现文件。你所要做的是在一个单一文件中定义一个类,系统会自动生成面向其它代码的外部接口。 类和结构体对比 Swift 中类和结构体有很多共同点。共同处在于: 定义属性用于存储值 定义方法用于提供功能 定义附属脚本用于访问值 定义构造器用于生成初始化值 通过扩展以增加默认实现的功能 符合协议以对某类
Glusterfs (ls操作代码处理分析)
TaLk工作室专栏 - Trace the linux kernel
06-13 3240
使用glusterfs3.3-release版本进行分析,ls命令执行后,抓取trace, 分析glusterfs的代码处理过程,用一台centos6.2虚拟机进行即可,创建卷及挂载过程步骤如下: 1.  官网下载release版本路径如下:http://www.gluster.org,下载后解压,然后我们先打入一个patch,使能glusterfs各个translator调用的trace,pa
CVE-2019-2025
qq_37439229的博客
02-09 997
CVE-2019-2025 复现环境: Android 8.0 Linux kernel:Linux localhost 4.4.124+ #1 SMP 前提知识 binder是c/s结构 有services client 线程池 还有传输的数据 讲解binder相关的数据结构里面的主要成员,binder的相关函数以及binder的内核缓存区管理 相关数据结构 struct binder_proc {//每个进程调用open()打开binder驱动都会创建该结构体,用于管理IPC所需的各种信息 struc
kgdb+Qemu-kvm调试环境建立方法和所需的相关文件
热门推荐
jinhongzhou的专栏
11-17 1万+
下面描述kgdb调试环境的建立。主要是参考:http://hi.baidu.com/liu_bin0101/blog/item/133e2f1f23395803314e1561.html,其中所需要的配置文件good_config在这个网页中也可以找到。可以按照网页中给定的方法手动配置内核配置文件。 --------------------裁减步骤------------------------
anticuckoo:一种用于检测和使布谷鸟沙箱崩溃的工具
02-06
anticuckoo:一种用于检测和使布谷鸟沙箱崩溃的工具
恶意程序在cuckoo沙箱中产生的Windows API序列数据集
01-05
将恶意程序在cuckoo沙箱中模拟运行得到Windows系统的API序列。可以使用机器学习算法来对不同的恶意程序进行划分(分类)。
cuckoo的配置以及启动场景问题分析
木小鱼的笔记
09-17 1万+
引言: 在安装完cuckoo的依赖包之后,我们来看看如何配置cuckoo,以及在cuckoo启动过程中碰到的各类问题分析。
在Windows7上安装CuckooSanbox
Sven的忘却日记
06-08 1412
在windows平台下安装还是很简单的,直接使用pip install cuckoo命令就可以了,安装完成后可以打开CMD输入cuckoo看一下命令是否有效。 Step 1 打开用户目录下有一个C:/Users/<YourUserName>/.cuckoo/conf/cuckoo.conf配置文件 找到并修改下面几项 1)指定虚拟机 machinery = vmware ...
开源软件 cuckoo sandbox 学习 (一) 安装使用
weixin_33895604的博客
04-18 744
本帖最后由 helloman 于 2013-10-5 17:12 编辑http://labs.alienvault.com/labs/index.php/2012/hardening-cuckoo-sandbox-against-vm-aware-malware/1. 环境搭建 ref http://docs.cuckoosandbox.org/en/latest/ref h...
Cuckoo安装指南(一)
木小鱼的笔记
09-17 8977
引言: Cuckoo是一个非常流行的恶意软件或者攻击分析系统,通过cuckoo可以方便地帮助安全研究人员验证恶意程序的特征信息,本文将详细描述其运行环境的搭建过程。由于整个过程比较庞杂,故将分为4篇来详细描述其搭建过程。此为第一篇。
Cuckoo Hashing
Rachel Zhang的专栏
08-01 4169
<br />Cuckoo Hashing<br />Time Limit:1000MS  Memory Limit:65536K<br />Total Submit:3 Accepted:3 <br />Description<br />One of the most fundamental data structure problems is the dictionary problem: given a set D of words you want to be able to quickly dete
自动化恶意软件分析系统Cuckoo安装、配置详解
D_R_L_T的博客
01-28 6465
0×00 简述  沙盒(Sanbox) 是一种将未知、不可信的软件隔离执行的安全机制。恶意软件分析沙盒一般用来将不可信软件放在隔离环境中自动地动态执行,然后提取其运行过程中的进程行为、网络行为、文件行为等动态行为,安全研究员可以根据这些行为分析结果对恶意软件进行更深入地分析。 Cuckoo 是一款用 Python 编写的开源的自动化恶意软件分析系统,它的主要功能有: 跟踪
struct spi_ioc_transfer transfer_rx = { .tx_buf = (uintptr_t)spi_tx, .rx_buf = (uintptr_t)spi_rx, .len = 4, .speed_hz = speed, .bits_per_word = bits, .delay_usecs = 20, }; if(ioctl(fd, SPI_IOC_MESSAGE(1), &transfer_rx) < 0) { printf("transfer_rx failed! \n"); return -1; } printf_buff(spi_rx, 4, "spi_rx"); break;
最新发布
03-19
上述代码片段展示了如何通过 `ioctl` 系统调用与 Linux 下的 SPI 设备进行通信。下面我们逐步解析这段代码的功能和含义: ### **结构体 spi_ioc_transfer 的作用** ```c struct spi_ioc_transfer transfer_rx = { .tx_buf = (uintptr_t)spi_tx, .rx_buf = (uintptr_t)spi_rx, .len = 4, .speed_hz = speed, .bits_per_word = bits, .delay_usecs = 20, }; ``` 1. 这里定义了一个名为 `transfer_rx` 的 `struct spi_ioc_transfer` 类型变量。 - `.tx_buf`: 表示发送缓冲区的地址 `(uintptr_t)` 强制转换是为了将指针类型转成无符号整数类型(适合传递给内核空间)。 - `.rx_buf`: 接收数据存储的位置,同样使用了强制类型转换处理。 - `.len`: 指定了传输的数据长度为 4 字节。 - `.speed_hz`: 定义本次SPI通信的速度(单位Hz),其值由变量 `speed` 决定。 - `.bits_per_word`: 设置每个字包含多少位,默认通常设置为8(即一字节)。 - `.delay_usecs`: 规定每次消息之间延时的时间微秒数。 ### **ioctl 调用的作用** ```c if(ioctl(fd, SPI_IOC_MESSAGE(1), &transfer_rx) < 0) { printf("transfer_rx failed! \n"); return -1; } ``` 这里的核心操作是对文件描述符 `fd` 使用 `ioctl` 命令来进行设备控制: - 第一参数 `fd`: 文件描述符,通常是打开 `/dev/spidevX.Y` 后返回的结果; - 第二参数 `SPI_IOC_MESSAGE(1)`: 此宏指定我们要向 SPI 驱动程序发送一组转移请求命令,并且该组含有单条消息。 - 第三参数 `&transfer_rx`: 将我们配置好的 `spi_ioc_transfer` 结构体传入到驱动层中用于实际的 SPI 数据交换过程。 如果发生错误,则打印 `"transfer_rx failed!"` 并返回 `-1` 标识失败退出函数流程。 ### 打印接收内容 ```c printf_buff(spi_rx, 4, "spi_rx"); ``` 此行假设有这样一个辅助功能可以展示接收到的内容方便调试检查结果是否正确。 --- #### **总结** 以上代码的主要目的是利用Linux下的标准API完成一次简单的全双工模式下对某特定外设的同步读写交互,它结合硬件特性实现了底层协议级别的直接操控能力,在嵌入式系统开发领域非常常见。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值