cuckoo sandbox
关注
分享
扫一扫
开源的自动恶意代码分析沙箱
拜乔布斯
文章中提到的工具或者样本可以到我的资源页面查看。
展开
-
如何通过命令行启动虚拟机
以virtualbox虚拟机为例,virtualbox -h显示可用指令如下:找到你virtualbox虚拟机中想要启动的虚拟机名和对应的快照名,打开对应快照。原创 2020-06-22 15:01:03 · 2647 阅读 · 0 评论 -
cuckoo主机和分析机通信过程分析
1、通信过程wireshark截图:cuckoo主机向分析机发出请求,分析机回复2、分析机中agent.py精简后代码#!/usr/bin/env python# Copyright (C) 2015-2017 Cuckoo Foundation.# This file is part of Cuckoo Sandbox - http://www.cuckoosandbox.org# See the file 'docs/LICENSE' for copying permission原创 2020-05-19 15:31:25 · 648 阅读 · 0 评论 -
cuckoo的截图功能
cuckoo使用的屏幕截图库是Pillow客户机位置:\lib\api\screenshot其实就是调用了ImageGrab.grab( )这一个函数,ImageGrab.grab( )使用代码:from PIL import ImageGrabim=ImageGrab.grab((300,100,1400,600)) # 300水平方向起点,100垂直方向起点,1400水...原创 2020-04-29 15:52:36 · 619 阅读 · 2 评论 -
cuckoo中的is32bit.exe程序逆向
调用该程序的代码位于分析机位置:C:\tmp2ow7jj\lib\api\process.py具体是Process类中的is32bit( )函数。逆向如下:1、该程序使用说明:2、根据传入的不同参数调用不同函数输出32或者643、函数sub_4016F4( )、sub_4017AB( )分析sub_4016F4( ):结合使用GetNativeSystemInf...原创 2020-04-27 17:33:46 · 292 阅读 · 0 评论 -
客户机agent.py使用的argparse库
该库用来增加参数agent.py中代码如下:import argparseif __name__ == "__main__": # 生成一个parser对象 parser = argparse.ArgumentParser() # 增加2个默认参数host、port parser.add_argument("host", nargs="?", default="0...原创 2020-04-28 11:54:18 · 297 阅读 · 0 评论 -
cuckoo代码阅读_darwin操作系统
在Cuckoo配置文件目录下有一个指定虚拟机操作系统选项:windows、linux都很好理解,darwin是什么系统?当时没有多注意,也没有百度。后来在在Cuckoo的源代码中看到了应该是苹果电脑的操作系统。...原创 2018-03-10 17:22:31 · 1214 阅读 · 0 评论 -
cuckoo提取样本字符串
代码位置:xxx\\lib\\python2.7\\site-packages\\cuckoo\\processing\\strings.py代码整理后如下:#coding:utf-8import redata=open("filepath","rb").read() # 一定要以二进制形式读取文件的全部内容strings = re.findall("[\x1f-\x7e]{6,...原创 2020-04-28 11:55:53 · 399 阅读 · 0 评论