摘要: 上篇 https://www.ajsafe.com/news/262.html
1、启动cuckoo程序
cuckoo //启动cuckoo主程序
cuckoo web //打开新的命令行窗口,启动cuckoo的web服务
http://localhost:8000///访问cuckoo的web界面
2、提交一个网址
通过命令行或者网页方式向cuckoo提交一个可执行文件,如果能得到合理的结果,则说明cuckoo运行正常。
以网页方式提交,cuckoo会自动判断文件类型,交给对应的虚拟机执行。例如提交自制的linux程序,名为linux.elf,会看到linux沙箱被启动:
这说明提交是成功的,那么是否能够进行分析呢?浏览器访问下面的网址:
http://127.0.0.1:8000/analysis/
查看cuckoo的分析结果:
可以看到检测的结果,说明cuckoo的主程序和虚拟机工作正常。
至此,ubuntu 1804系统作为cuckoo的虚拟机就配置完成了。
1、启动cuckoo主程序
cuckoo //命令行启动cuckoo
没有出现报错信息,说明启动成功。
2、启动cuckoo的web服务
cuckoo web //在新的命令行窗口运行命令,启动cuckoo的web程序
浏览器打开下面的URL,以访问cuckoo的web界面:
注意,在启动cuckoo的web服务之前要先启动mongodb。使用下面的命令:
systemctl start mongodb
1、在命令行中提交
2、分析包(Analysis Packages)的概念
(1)分析包的种类
applet: 用于分析java小程序
选项:
选项:
选项:
选项:
选项:
(2)例子
//向cuckoo提交/path/to/malware.dll文件。指定分析包为dll,并设置两个选项,一是被执行的dll中的函数名为FunctionName,二是使用explorer.exe作为dll启动器。
3、通过web界面提交
访问cuckoo的web界面:http://127.0.0.1:8000/
点击“SUBMIT A FILE FOR ANALYSIS”,上传文件进行分析。点击“SUBMIT URLS/HASHES”,提交URL或文件hash进行分析。
4、查看分析结果
点击上方的Recent,可以看到近期分析的恶意样本。
点击样本名称,可以看到分析结果:
在Signatures(行为特征)部分,可以看到样本执行了添加用户到管理员组的操作。
cuckoo在沙箱中拍摄了样本执行时的截图,通过截图可进一步了解样本的运行情况。
cuckoo clean //该命令可以清除如下的数据:
分析结果
提交的文件
数据库中的分析任务和样本信息
mongodb数据库中的所有信息(若在$CWD/conf/reporting.conf配置了使用mongodb)
ElasticSearch数据库中的所有信息(若启用了ElasticSearch)
本文为大家讲解了cuckoo系统的安装、配置和使用,希望对各位的工作有所帮助。
原文地址:https://www.freebuf.com/sectool/234251.html