老大让我安装一个Cuckoo Sandbox,有亿点点难,尤其是对于我这种只学了密码学和导论的半吊子 网安人,所以打算从0开始,首先就介绍一下杜鹃沙盒
首先要知道什么是沙盒
沙箱:沙箱是一种用于分离正在运行的程序的安全机制。它通常用于执行来自未经验证的第三方、供应商、不受信任的用户和不受信任的网站的未经测试的代码或不受信任的程序。
这个概念也适用于恶意软件分析的沙盒:我们的目标是在隔离环境中运行未知且不受信任的应用程序或文件,并获取有关其作用的信息。
恶意软件沙盒是动态分析方法的实际应用:它不是静态分析二进制文件,而是实时执行和监控。
这种方法显然有利有弊,但它是一种有价值的技术,可以获取有关恶意软件的其他详细信息,例如其网络行为。因此,在检查恶意软件时同时执行静态和动态分析是一种很好的做法,以便更深入地了解它。
虽然很简单,但 Cuckoo 是一个允许您执行沙盒恶意软件分析的工具。
然后我们要知道,杜鹃是什么
Cuckoo 是一个开源的自动化恶意软件分析系统。
它用于自动运行和分析文件,并收集全面的分析结果,概述恶意软件在隔离操作系统中运行时的行为。
它可以检索以下类型的结果:
恶意软件产生的所有进程执行的调用跟踪。
恶意软件在执行期间创建、删除和下载的文件。
恶意软件进程的内存转储。
PCAP 格式的网络流量跟踪。
在执行恶意软件期间拍摄的屏幕截图。
机器的完整内存转储。
由于其极其模块化的设计,Cuckoo 被设计为既可用作独立应用程序,也可集成到更大的框架中。
可以用来分析:
通用 Windows 可执行文件
动态链接库文件
PDF文件
微软办公文档
URL 和 HTML 文件
PHP 脚本
CPL 文件
Visual Basic (VB) 脚本
压缩文件
Java JAR
Python 文件
几乎其他任何东西
由于其模块化和强大的脚本功能,Cuckoo 可以实现的目标没有限制。
Cuckoo Sandbox 由处理样本执行和分析的中央管理软件组成。
每个分析都在一个全新且隔离的虚拟机或物理机中启动。Cuckoo 基础架构的主要组件是一台主机(管理软件)和一些访客机(用于分析的虚拟机或物理机)。
主机运行管理整个分析过程的沙箱的核心组件,而来宾是恶意软件样本实际安全执行和分析的隔离环境。
下图解释了 Cuckoo 的主要架构在这里插入图片描述
: