Sven的忘却日记

目标：监控利用ATBroker，来达到自启动行为 思路：监控关键注册表写入from lib.cuckoo.common.abstracts import Signatureimport reclass TestReg(Signature): name = "test_reg" description = "just for test registry" se...

刚接触Cuckoo这这款沙箱，在编写自定义规则时遇到很多困难，很多模板里面用的函数官网文档上没有太详细的说明。 只好自己写规则demo，和测试样本demo，再根据沙箱报告的结果去猜这个函数应该怎么正确使用.在观摩github社区里面其他人共享的Signature模板时，发现别人使用了很多函数，不明白是干什么，常见的模板框架里至少有下面这两个函数on_call(self, call, p...

今天早上整理以前写的规则，我把其中一条规则on_call函数中的process参数去掉了原来的规则如下class ATBroker(Signature): name = "atbroker" description = "Using ATBroker for AutoRun" severity = 40 categories = ["AutoRun"] ..

错误具体信息 * ERROR: ValueError: invalid version number ‘20’*平时都是按照官方给的模板去修改签名，有个同事不小心把Signature的minimum字段，最小支持版本修改成了20，导致服务启动不了，修正后以及可以正常启动！...

签名如下：from lib.cuckoo.common.abstracts import Signatureclass TestWriteFile(Signature): name = "test_write_file" description = "test file api calls&q

之前我们了解到在on_call函数中有三个参数，分别是self、call、process今天在查看Cuckoo源码的时候发现了关于on_call函数中的call参数的一些东西详情可以查看Cuckoo项目源码的：cuckoo-modified-master\modules\processing\behavior.py文件的281行和317行部分CALL参数的详细信息call["tim...

在windows平台下安装还是很简单的，直接使用pip install cuckoo命令就可以了，安装完成后可以打开CMD输入cuckoo看一下命令是否有效。Step 1打开用户目录下有一个C:/Users/<YourUserName>/.cuckoo/conf/cuckoo.conf配置文件找到并修改下面几项1）指定虚拟机 machinery = vmware...

使用Ubuntu1.80 TLS搭建一个样本分析沙箱。需要安装pip，在安装的时候提示找不到CDROM 原来默认它是从光盘映像中寻找资源，打开文件：sudo vi /etc/apt/source.list 找到cdrom那一项，注释掉即可 ...

以前分析GandCrab v5.2时，该样本通过SetErrorMode函数来检测是否运行在沙箱环境，具体代码如下：程序入口逻辑：写了个简单的demo，上传大cuckoosandbox沙箱中#include "stdafx.h"#include <windows.h>int _tmain(int argc, _TCHAR* argv[]){ SetErrorM...