用户
搜索
  • TA的每日心情
    开心
    2018-1-12 13:06
  • 签到天数: 4 天

    连续签到: 1 天

    [LV.2]偶尔看看

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    21

    主题

    89

    帖子

    560

    魔法币
    收听
    0
    粉丝
    2
    注册时间
    2017-12-28

    i春秋签约作者

    发表于 2018-2-1 13:03:18 93266
    开篇
    很久很久以前,那是一个美好的周二,我找一个关系不错的同事玩,发现领导给他个任务是搭建恶意代码分析环境:Cuckoo,又叫布谷鸟,开源很知名的一个系统,然后他从前一周的周一搭建到下一周的周二,主要是报错太多了,他是基于Ubuntu14和网上的现成教程去安装的。

    为啥写这个?
    前天领导们说要做恶意软件分析,领导们对这些不是很懂,于是我想自己搭建一下cuckoo,于是群里问一下果然有人搭建,我寻思着一两年过去了,现在cuckoo应该很好搭建吧,一问人家居然搭建了一周才完成,本来在一年以前我是知道简单安装方式的,但是我忘记了,今天写出来也做个备忘。也公开出来这个小技巧,为更多做恶意代码分析的人节省更多时间。一般情况下节省三五天一两个星期吧,不过我方向不是做恶意软件分析不是做逆向的,只能给大家介绍点快捷方法。

    适用场景
    我这种方法更适合个人快速使用的,不适合企业级上线,因为企业级一般都是需要基于Ubuntu系统,Ubuntu安装坑很多,调错估计要好几天,如果你需要一个几分钟内搭建好的cuckoo,这个教程适合你。

    cuckoo介绍
    cuckoo sandbox是一个开源的恶意文件自动化分析系统,采用python和c/c++开发,跨越windows、android、linux和darwin四种操作系统平台,支持二进制的PE文件(exe、dll、com)、PDF文档、office文档、URLs、HTML文件、各种脚本(PHP、VB、Python)、jar包、zip文件等等几乎所有的文件格式。能分析恶意文件的静态二进制数据和动态运行后的进程、网络、文件等行为。对于恶意文件的初步分析定性具有很大帮助。

    没有对比就没有伤害
    网上的教程先贴一批:
    http://blog.csdn.net/blueheart20/article/details/52548556
    http://www.freebuf.com/sectool/108533.html
    http://blog.csdn.net/ab455373162/article/details/52208954
    首先这些大神的技术专研很深入,先给108个赞
    不过昨天我根据其中一篇文章再Ubuntu上搭建的,搭建了一天,遇到各种问题各种解决,最后也没解决完,这就是为啥我要写这个文章

    我的教程:一条命令搞定
    apt-get install cuckoo

    接下来是本帖的重点,本帖使用的系统不是Ubuntu,而是kali Linux 2.0

    步骤
    要成功安装cuckoo总共分两步:
    第一步:打开kali的终端
    第二步:输入apt-get install  cuckoo并回车,然后会问你是否安装时输入Y
    简不简单?惊不惊喜?意不意外?

    下面上图
    cuckoo-01.png

    然后选择安装的组件,看到和主流的cuckoo教程安装的组件是一样的ruvirtualbox等,只不过在Ubuntu下需要自己手工安装,而kali系统自己给你弄好自动安装
    cuckoo-02.png

    然后就是安装成功
    cuckoo-03.png

    重点来了,如何使用?
    这种方式的cuckoo所有项目都是在/usr/share/cuckoo文件夹里,如果你要使用cuckoo,直接输入命令是不行的,要首先更改配置文件,然后再启动
    修改/usr/share/cuckoo/conf/cuckoo.cof文件,把里面的IP更改成自己kali的IP
    cuckoo_conf.png

    cuckoo_conf1.png

    然后在/usr/share/cuckoo/中输入python cuckoo.py启动cuckoo
    cuckoo_start.png

    开启cuckoo的web界面:在/usr/share/cuckoo/utils下有个web.py运行即可,监听端口是8080
    注:/usr/share/cuckoo/utils下的submit.py是在控制台下提交恶意软件的,是在非web下使用。
    cuckoo_web.png

    看图效果
    cuckoo_web3.png

    --------------------------------------------------------------华丽分割线-------------------------------------------------------------------
    我是恶意代码分析小白,大神勿喷
    本次教程结束
    发表于 2018-2-1 15:40:36
    沙发,之前也装过,确实有很多坑
    使用道具 举报 回复
    学习了。
    使用道具 举报 回复
    yitu 发表于 2018-2-1 15:40
    沙发,之前也装过,确实有很多坑

    很多人安装这个要调错一个星期,我找到了快捷的安装方式,就把这个公布出来,节省大家时间,几分钟搞定,能省一星期时间。
    使用道具 举报 回复

    以后多支持我帖子呀,我还有不少干货,其实这个方法是我一年多以前弄出来的,当时想着私藏,后来长时间不用居然忘记了哈哈,以后把东西都及时发出来。
    使用道具 举报 回复
    感谢大佬的分享,话不多说,我也去试试
    使用道具 举报 回复
    嗯……很好,很厉害……还好我看不懂……
    使用道具 举报 回复
    有点入坑的感觉
    使用道具 举报 回复

    主要是为大家节省点时间
    使用道具 举报 回复
    发表于 2018-10-6 08:00:37
    支持一下~
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册