Cuckoo的配置与使用Ubuntu + VirtualBox + windows Xp SP3

cuckoo简介:Cuckoo基于虚拟机技术,使用中央控制系统和模块设计,结合python的自动化特征,已经是颇为自动化的恶意软件行为研究环境。独到的蜜罐网络研发的技巧,让Cuckoo可以轻而易举的进行URL分析、网络通讯分析、程序分析、pdf分析。个人推荐使用debian或ubuntu主机安装virtualbox当作Cuckoo Host,WinXP做guest。

运行环境:Ubuntu 14.04 LTS Desktop(64Bit),VirtualBox,Windows Xp SP3

参考资料cuckoo.pdf(特别重要,官网可以下载www.cuckoosandbox.org),http://arisri.tistory.com/m/post/127,http://github.com/cuckoobox/cuckoo,

1,配置主机

首先下载一些需要的软件和库:

安装python及依赖库

$ sudo apt-get install python

$ sudo apt-get install python-sqlalchemy python-bson

$sudo apt-get install python-dpkt python-jinja2 python-magic python-pymongo python-gridfs

安装tcpdump及配置运行权限为root

$ sudo apt-get install tcpdump

$ sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump

可以用下面的操作验证结果:

$ getcap /usr/sbin/tcpdump

/usr/sbin/tcpdump = cap_net_admin,cap_net_raw+eip

如果没有安装setcap,可以先下载setcap

$ sudo apt-get install libcap2-bin

或者手动修改:

$ sudo chmod +s /usr/sbin/tcpdump

安装volatility

$ sudo apt-get install volatility

安装git

$ sudo apt-get install git

2,创建用户

必须保证运行Cuckoo的用户和创建并运行虚拟机的用户是同一个,否则Cuckoo不会识别虚拟机,也无法登录。你可以将当前用户运行Cuckoo或者为Cuckoo新建一个用户。

创建新用户:

$ sudo adduser cuckoo

如果是使用Virtualbox来运行虚拟机,那么确保运行Cuckoo的用户属于vboxusers组(或者你用于运行VirtualBox的组)

$ sudo usermod -G vboxusers cuckoo

3,下载Cuckoo

$ git clone git://github.com/cuckoobox/cuckoo.git

4、配置Cuckoo

Cuckoo依赖6个配置文件:

cuckoo.conf:配置通用操作和分析选项

auxiliary.conf:使能和配置辅助模块

<machinery>.conf:定义本机虚拟化软件的选项,文件的名字与cuckoo.conf中定义的机器模块的名字相同

memory.conf:Volatility配置

processing.conf:使能和配置处理模块

reporting.conf:使能和关闭报告格式

通常只需要编辑cuckoo.conf 、auxiliary.conf和<machinery>.conf这三个文件。

cuckoo.conf

文件中大部分是注释和解释,重点关注下面的选项:

machinery in [cuckoo]:这定义了你想要使用的Cuckoo与虚拟机交互的机器模块,默认值是virtualbox,名字要与模块名完全相同

ip和port in [resultserver]:这是Cuckoo的分析机器的本地IP和端口。本机使用Ubuntu,可以使用ifconfig查看

auxiliary.conf

这个文件跟随默认配置即可

<machinery>.conf

machines in [virtualbox]:这个选项指定了使用virtualbox建立的虚拟机的名字

label in [cuckoo1]:定义了VirtualBox配置指定的当前机器的标签名

ip in [cuckoo1]:定义当前虚拟机的IP地址

5,配置客户机:

安装VirtualBox:

$ sudo apt-get install virtualbox

安装虚拟机:

安装xp虚拟机,省略。。。。。

安装需要的软件:

安装python。运行cuckoo需要python

根据你要分析的文件,安装相应的软件,注意,关闭所有附加软件的自动更新和检查更新选项

配置虚拟机网络:使用NAT即可

关闭操作系统的防火墙和自动更新选项。

安装Agent:

在cuckoo的agent/目录下有agent.py文件,将其复制到虚拟机操作系统的开始文件夹中,使其可以开机运行

保存虚拟机:

在保存之前确保配置之后的虚拟机已经重启过并且当前正在运行,Cuckoo的agent在运行且xp已经完全启动。

生成快照:

$ VBoxManage snapshot "<Name of VM>" take "<Name of snapshot>" --pause

快照完成后,关闭虚拟机并存储

$ VBoxManage controlvm "<Name of VM>" poweroff

$ VBoxManage snapshot "<Name of VM>" restorecurrent

此时cuckoo的所有基本配置就已经完成了。

6,Cuckoo的使用:

启动cuckoo:

$ ./cuckoo.py

注意cuckoo.py不一定用sudo运行,一定要使用之前设置的用户运行cuckoo

然后另开一个命令行窗口

提交分析的文件到主机:

$ python /home/kevin/cuckoo-master/utils/submit.py --url http://www.baidu.com

然后在storage/analyses的相应ID目录下会有生成报告。

输出中报错及解决方案:

TcpDump is not accessible from this user, network capture aborted

在github上托管的代码中可以找到这个部分的代码,从注释中可以看出这个问题是cuckoo未解决的问题。临时解决方案是从github上下载最新的Cuckoo版本。

VBoxManage exited with error restoring the machine’s snapshot

注意操作顺序,先保存虚拟机,然后运行cuckoo,最后提交分析任务。否则会出现上述问题。

CuckooCriticalError: Unable to bind ResultServer on 192.168.1.89:2042 [Errno 99] Cannot assign requested address

这说明是ResultServer的IP跟host的IP不一致。

cuckoo1:the guest initialization hit the critical timeout, analysis aborted.

这个问题正在解决。。。。

时间: 2024-10-02 17:56:27

Cuckoo的配置与使用Ubuntu + VirtualBox + windows Xp SP3的相关文章

fedora 21下Virtual Box安装Windows XP SP3

Installing Virtual Box and Windows XP SP3 during Fedora 21 The first step:Download and Install Virtual BoxThe first method:Download address:https://www.virtualbox.org/wiki/Downloads;According to system, we click onVirtualBox 4.3.20 for Linux hosts, a

官方原版Windows XP SP3(VOL)中文简体版ISO下载

今天,向各位朋友推荐今年五月,由MSDN官方集成的XP With SP3专业VOL版. 文 件:Windows XP Professional with Service Pack 3 (x86) - CD (Chinese-Simplified)zhhans_windows_xp_professional_with_service_pack_3_x86_cd_vl_x14-74070.iso 大 小:601.04MB UTC(公布时期):5/2/2008 12:05:18 AM SHA1:d14

Windows XP SP3中远程桌面实现多用户登陆

1 [原创]Windows XP SP3中远程桌面实现多用户登陆 现在电脑我想都可以在远程控制和远程协助了吧(xp,sp2,sp3),现在一个问题,你想远程操控你的电脑,但是你电脑有人用,你好意思让他退出~然后你在远程控制?呵呵,下面Star我为他家说说sp3多用户控制的弄法~~sp2这些都类似~具体没有试.. 案例:电脑建2个用户,一个用户你专用(假设为:xp1),一个用户给别人用(假设为:xp2)~自己看着办~如果你远程控制你的电脑通过电脑进入你的用户名xp1,这个时候你会发现,弹出一个提示

如何实现虚拟机(VirtualBox)中的Ubuntu与Windows XP间的数据共享

环境: 主机是Windows XP系统 虚拟机与Ubuntu的版本分别为: VirtualBox-3.2.12-68302-Win ubuntu-10.10-desktop-i386 前提:已安装VirtualBox的增强功能 安装过程可参考以下文章: VirtualBox中的Ubuntu如何实现全屏 步骤: 1.设置共享文件夹 VirtualBox菜单栏中点击[设备->分配数据空间]添加数据空间 这里主要设置两项内容: (1)共享文件夹的路径 (2)数据空间名称,例如[MyShare],这个名

Node.js-安装配置【1】-下Windows XP系统配置环境变量

家里有台老古董台式机,安装的是Windows XP系统,摸索了一下,成功的在上面安装配置好了Node.js V4.4.7 一.安装Node.js(过程略) 二.npm配置全局和缓存路径(过程略) 三.配置环境变量 1.打开环境变量->系统变量 2.新增变量名:NODE_HOME,变量值:C:\Program Files\nodejs 3.新增变量名:NODE_PATH,变量值:%NODE_HOME%\node_global\node_modules 4.打开变量名:Path,变量值追加:;%NO

最新的windows xp sp3序列号(绝对可通过正版验证)

MRX3F-47B9T-2487J-KWKMF-RPWBY(工行版) 可用(强推此号) QC986-27D34-6M3TY-JJXP9-TBGMD(台湾交大学生版) 可用 CM3HY-26VYW-6JRYC-X66GX-JVY2D 可用 DP7CM-PD6MC-6BKXT-M8JJ6-RPXGJ 可用 F4297-RCWJP-P482C-YY23Y-XH8W3 可装不可升级 HH7VV-6P3G9-82TWK-QKJJ3-MXR96 HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT W

Windows XP SP3远程桌面连接支持网络级身份验证配置

知识点:网络级别身份验证 (NLA) 是一项新的身份验证方法,即在您建立完整的远程桌面连接前就完成了用户身份验证并显示登录屏幕.它是一项更加安全的身份验证方法,可以防止远程计算机受到 黑客或恶意软件的攻击.NLA 的优点是: 最初只需要少量的远程计算机资源.对用户进行身份验证之前,远程计算机仅使用有限的资源,而不是像在先前版本中启动整个远程桌面连接.  可以通过降低拒绝服务攻击(尝试限制或阻止访问 Internet)的风险提供更高的安全保障.  使用远程计算机身份验证可以防止我们连接到因恶意目的

windows xp,7,10,server 2003/2008下安装oracle 10g

在开发中我们经常用到oracle数据库.oracle现在有不同的版本,不同的项目由于开发时间不同而使用不同的oracle版本.由于各版本数据库功能存在不同,所以一但开发好后一般很难升级数据库版本.但我们所用的操作系统又在不断更新.许多人愿意尝试新的操作系统.由于操作系统兼容性的原因 ,oracle 10g在不同的Windows下的安装有一些不同. oracle 10g对Windows  XP 系统的兼容性最好,下载安装包之间双击运行即可. 在Windows server 2003中,直接双击运行

关于第三方Windows XP SP4更新包的说明

?? 最近我们注意到有国外用户将Windows XP SP3以后的官方更新做了一个集合更新包,将其称为"非官方"Windows XP SP4安装包.国内的很多媒体也做了相关报道,并同时提供了下载链接.根据该安装包作者的描述,他只是将微软公开发布的XP相关补丁汇总在一起,做成一个安装包,因此对于之前已经安装了所有Windows XP更新的用户而言,这个更新包并没有额外的帮助.对于目前仍在使用Windows XP系统的用户而言,也可以直接访问微软Windows Update网站来下载安装所