Cuckoo自动恶意软件分析系统讲解

"0×01?概述?

沙盒游戏(Sanbox)?是一种将末知、不能信的软件隔離实行的安全措施。恶意软件分析沙盒游戏一般用于将不能信软件摆在隔離环境中自动地动太实行，随后获取其运作过程中的程序行为、网络行为、文档行为等动太行为，安全研究员可以根据这些行为分析结果对恶意软件进行更深层次地分析。

Cuckoo是一款用?PHP?编排的开源系统的机械自动化恶意软件分析系统，它的主要功能有：

追踪纪录恶意软件所有的启用情况；

恶意软件文档行为：恶意软件实行过程中建立新文档、改动文档、删除文件、加载文档或免费下载文档的行为；

获得恶意软件的运存镜像系统；

以?PCAP文件类型纪录恶意软件的数据流量；

获得恶意软件实行过程中的屏幕截图；

获得实行恶意软件的远程服务器的全部运存镜像系统

Cuckoo可以分析的文件类型限于：

Windows?可执行文件

DLL文档

pdf文档

AS?Office文档

网页地址和?hmtl文档

Python?脚本文档

CPL文档

VB?脚本文档

ZIP压缩文件

JAR文档

PHP脚本文档

APK文档

ELF文档

Cuckoo的构架也非常简单，在?Host?机里运作?Cuckoo主程序，多个Guest?机通过虚拟网络与?Host?机相接，每个Guest?机里有一个Cuckoo?Agent?系统软件，用于做?Cuckoo?的网络监控代理商，构造给出：

?

0×08?Host?机环境准备

Host?机系统软件：?Ubuntu14.04.01_amd64_desktop（政策推荐用?Ubuntu?最新消息的?LTS?版本号），PHP?版本号?2.7.6。

先找?Cuckoo?Sandbox?安卓下载最新消息的公布版本号（目前是?v2.2-RC1）：?htpp://cuckoosandbox.org/

先安裝主要的依靠：

apt-put?install?python?python-pip?python-dev?libffi-dev?libssl-dev?

如果得用?Cuckoo?内置的来源于?Django?的?web?智能管理系统，需要安裝?MongoDB：

apt-put?install?mongodb?

下一步需要大批量安裝?Cuckoo?的?PHP?依赖包，Cuckoo?主目录里有一个?requirements.txt?文档，内容给出：

alembic==0.8.0

beautifulsoup4==4.4.1

cffi==1.2.1

chardet==2.3.0

cryptography==1.3

Django==1.8.4

dpkt==1.8.6.2

ecdsa==0.13

enum34==1.0.4

Flask==0.10.1

HTTPReplay==0.1.5

idna==2.2

ipaddress==1.0.14

itsdangerous==0.24

Jinja2==2.9

jsbeautifier==1.5.10

Mako==1.0.1

MarkupSafe==0.23

ndg-httpsclient==0.4.0

.com://pefile.googlecode.Com/files/pefile-1.2.10-139.tar.gz#egg=pefile?pyasn1==0.1.8

pycparser==2.14

pymongo==3.0.3

pyOpenSSL==0.15.1

python-dateutil==2.4.2

python-editor==0.2

python-magic==0.4.6

requests==2.7.0

six==1.9.0

SQLAlchemy==1.0.8

tlslite-ng==0.6.0-alpha3

wakeonlan==0.2.2

Werkzeug==0.10.4?

其中的?pefile需要从谷歌Code上免费下载，因为台湾地区网络限制，需要备用人字梯，走上人字梯后实行以下大批量安裝指令：

pip?install-rrequirements.txt

或者先往爬梯子的情形下半自动安裝pefile，再把?pefile?这一项从requirements.txt文档中去除，随后当你不再翻墙的情况下大批量安裝其他不需要翻墙的依赖包