上篇 https://www.ajsafe.com/news/262.html

（五）验证虚拟机功能

1、启动cuckoo程序

cuckoo //启动cuckoo主程序

cuckoo web //打开新的命令行窗口，启动cuckoo的web服务

http://localhost:8000///访问cuckoo的web界面

2、提交一个网址

通过命令行或者网页方式向cuckoo提交一个可执行文件，如果能得到合理的结果，则说明cuckoo运行正常。

以网页方式提交，cuckoo会自动判断文件类型，交给对应的虚拟机执行。例如提交自制的linux程序，名为linux.elf，会看到linux沙箱被启动：

这说明提交是成功的，那么是否能够进行分析呢？浏览器访问下面的网址：

http://127.0.0.1:8000/analysis/

查看cuckoo的分析结果：

可以看到检测的结果，说明cuckoo的主程序和虚拟机工作正常。

至此，ubuntu 1804系统作为cuckoo的虚拟机就配置完成了。

四、kali linux使用cuckoo沙箱分析恶意样本

（一）启动cuckoo

1、启动cuckoo主程序

cuckoo //命令行启动cuckoo

没有出现报错信息，说明启动成功。

2、启动cuckoo的web服务

cuckoo web //在新的命令行窗口运行命令，启动cuckoo的web程序

浏览器打开下面的URL，以访问cuckoo的web界面：

http://localhost:8000/

注意，在启动cuckoo的web服务之前要先启动mongodb。使用下面的命令：

systemctl start mongodb

（二）向cuckoo提交恶意分析对象

1、在命令行中提交

2、分析包（Analysis Packages）的概念

(1)分析包的种类

applet: 用于分析java小程序

选项:

选项:

选项:

选项:

选项:

(2)例子

//向cuckoo提交/path/to/malware.dll文件。指定分析包为dll，并设置两个选项，一是被执行的dll中的函数名为FunctionName，二是使用explorer.exe作为dll启动器。

3、通过web界面提交

访问cuckoo的web界面：http://127.0.0.1:8000/

点击“SUBMIT A FILE FOR ANALYSIS”,上传文件进行分析。点击“SUBMIT URLS/HASHES”,提交URL或文件hash进行分析。

4、查看分析结果

点击上方的Recent，可以看到近期分析的恶意样本。

点击样本名称，可以看到分析结果：

在Signatures（行为特征）部分，可以看到样本执行了添加用户到管理员组的操作。

cuckoo在沙箱中拍摄了样本执行时的截图，通过截图可进一步了解样本的运行情况。

（三）清理分析结果

cuckoo clean //该命令可以清除如下的数据：

分析结果

提交的文件

数据库中的分析任务和样本信息

mongodb数据库中的所有信息（若在$CWD/conf/reporting.conf配置了使用mongodb）

ElasticSearch数据库中的所有信息（若启用了ElasticSearch）

五、总结

本文为大家讲解了cuckoo系统的安装、配置和使用，希望对各位的工作有所帮助。

原文地址：https://www.freebuf.com/sectool/234251.html