Cuckoo针对恶意软件自动化分析系统

最新推荐文章于 2024-09-14 09:27:22 发布
原创 最新推荐文章于 2024-09-14 09:27:22 发布 · 1.7k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#自动化 #运维 #网络安全

Cuckoo是一款开源的自动化恶意软件分析系统,专注于Windows平台,同时也支持Linux和MacOS。它能跟踪win32API调用,检测文件操作,获取内存镜像,记录网络流量,捕获屏幕截图,并分析多种文件格式如可执行文件、PDF、Office文档等。此外,还提及了Viper二进制分析框架和Android安全取证工具AndroidQF。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

​Cuckoo是一款开源的自动化恶意软件分析系统,目前主要用于分析windows平台下的恶意软件,但其框架同时支持Linux和Mac OS。

cuckoo能够自动化获取如下信息:

(1).能够跟踪恶意软件进程及其产生的所有进程的win32 API调用记录(跟踪记录恶意软件所有的调用状况)

(2).能够检测恶意软件的文件创建、删除和下载(恶意软件文件行为,恶意软件执行过程中创建新文件、修改文件、删除文件、读取文件或下载文件的行为);

(3).能够获取恶意软件进程的内存镜像(获取恶意软件的内存镜像);

(4).能够获取系统全部内存镜像,方便其他工具进行进一步分析(获取执行恶意软件的客户机的完整内存镜像);

(5).能够以pacp格式抓取网络数据(以PCAP格式记录恶意软件的网络流量);

(6).能够抓取恶意软件运行时的截图(获取恶意软件执行过程中的屏幕截图)。

Cuckoo支持分析多种文件格式,主要包括:

windows可执行文件

DLL文件

PDF文档

Office文档

恶意URL

HTML文件

PHP文件

VB 脚本文件

CPL文件

VBS

ZIP压缩文件

jar文件

zip压缩包

apk文件

elf文件

python程序等

这些完全依赖于他的分析模块

https://github.com/cuckoosandbox/cuckoohttps://github.com/cuckoosandbox/cuckoo/releases

基于Viper的二进制软件自动分析框架

https://github.com/viper-framework/viperpip3 install viper-frameworkviper

使用androidqf可以从Android设备中获取安全取证信息

https://github.com/botherder/androidqfhttps://github.com/botherder/androidqf/releasesmake linuxmake darwinmake windows$ age --decrypt -i ~/path/to/privatekey.txt -o <UUID>.zip <UUID>.zip.age

29、Linux系统恶意软件分析工具与技术全解析
plum99的博客
08-03 14
本文深入解析了Linux系统下恶意软件分析的多种工具与技术,涵盖自动化分析框架、在线沙箱、反汇编工具、内存取证方法、网络分析技术以及数字病毒学应用。文章还介绍了针对不同文件类型的分析流程,括ELF文件、微软办公文档和PDF文件,同时强调了法律合规性和证据完整性的重要性,为安全研究人员提供了全面的技术参考和实践指导。
恶意软件分析大合集
最新发布
Sumarua的博客
05-09 851
这个列表记录着那些令人称赞的恶意软件分析工具和资源。受到 awesome-python 和 awesome-php 的启迪。
恶意软件自动分析工具malheur
05-25
Malheur是一个自动化恶意软件分析工具,它在沙箱(sandbox)中记录恶意软件的程序行为。开发Malheur的目的除了支持常规意义 上的恶意软件行为分析,还有就是关注恶意软件检测和防范方法的发展。Malheur能够识别具有类似行为的恶意软件,还能够发现未知的恶意软件。 Malheur 支持检测报告自动生成,报告格式类似于流行的恶意软件沙箱CWSandbox,Anubis,Norman,Sandbox和joebox。
Cuckoo恶意软件自动化分析平台搭建
weixin_33973609的博客
03-08 1072
kernux · 2015/12/22 10:28Author:kernux Topsec α-lab0x00 cuckoo概述Cuckoo是一款开源的自动化恶意软件分析系统,目前主要用于分析windows平台下的恶意软件,但其框架同时支持Linux和Mac OS。cuckoo能够自动化获取如下信息:能够跟踪恶意软件进程及其产生的所有进程的win32 API调用记录;能够检测恶意软件的文件创建、删...
恶意软件分析环境cuckoo+malwasm
abcd1f2的专栏
01-15 1847
分析恶意软件malicious ware有很多方法。请容我不自量力推荐两个开放源代码的免费系统Cuckoo和MalWasm。这是一个虚拟化环境下的恶意软件分析系统。 基于虚拟化进行程序分析有很多优点: 整机内存可以dump出来,并且可以随时做snapshot;多数网络通讯可以分析;无论杀毒软件如何吹嘘它们的启发式分析引擎,但是xss的故事已经证明区区XOR加密就可以将他们全部bypas
Zero Wine Tryouts:一个开源的恶意软件分析工具-开源
07-03
Zero Wine Tryouts 是一款开源恶意软件分析工具。 只需通过网络界面上传您的可疑文件(例如 Windows 可执行文件、PDF 文件)并让其进行分析。 更多信息请访问项目网站:http://zerowine-tryout.sourceforge.net/
cuckoo主机和分析机通信过程分析
yellow的博客
05-19 669
1、通信过程wireshark截图: cuckoo主机向分析机发出请求,分析机回复 2、分析机中agent.py精简后代码 #!/usr/bin/env python # Copyright (C) 2015-2017 Cuckoo Foundation. # This file is part of Cuckoo Sandbox - http://www.cuckoosandbox.org # See the file 'docs/LICENSE' for copying permission
Android-CuckooDroid-利用CuckooSandbox自动化分析Android恶意软件
08-12
CuckooDroid,作为Cuckoo Sandbox的一个扩展,专门针对Android恶意软件自动化分析提供了强大的工具。本文将深入探讨CuckooDroid的工作原理、安装配置、以及如何利用它来检测和分析Android恶意软件。 **Cuckoo ...
基于VirtualBox与Cuckoo恶意软件防范强化策略研究
综上所述,本学位论文详细论述了如何在虚拟化环境下搭建和优化恶意软件分析平台,以及如何通过脚本自动化强化该环境以提高恶意软件分析的有效性。论文不仅涉及了理论研究,还含了实际的环境搭建和配置过程,具有很...
CBM:使用API​​调用序列的免费自动恶意软件分析框架
05-09
CBM框架是一种自动化系统,能够针对恶意软件分析进行定制化构建。它整合并改进了多个开源软件工具。通过使用Cuckoo Sandbox工具,CBM框架能够提取API调用序列作为恶意软件行为报告。然后,将API调用转换为基于字节的...
cuckoo主机分析机通信行为分析.zip
05-19
cuckoo分析任务过程中截取的完整数据;agent.py原始代码、精简后代码;上传到分析机的临时压缩文件;analysis.conf文件。有兴趣的同学可以观察cuckoo的主机和分析机之间的通信过程。
viper:二进制分析和管理框架
04-01
Viper是一个二进制分析和管理框架。 其基本目标是提供一种解决方案,以轻松组织您的恶意软件和漏洞利用样本以及一段时间内创建或发现的脚本集合,以便利您的日常研究。 开始吧! $ pip3 install viper-framework $ viper 有关如何安装的更多信息和说明,请访问 想贡献吗? Viper是经过BSD许可的开放式协作开发成果,在很大程度上依赖于整个社区的贡献。 我们欢迎门票,拉动要求,功能建议。 开发新模块或补丁时,请尝试遵守我们在整个项目中维护的通用代码样式。 在介绍新功能或修复重大错误时,请同时提供一些简要信息,并可能在我们的指南中介绍全面的文档。
viper, 二进制分析和管理框架.zip
10-10
viper, 二进制分析和管理框架 Viper 是一个二进制分析和管理框架。 它的基本目的是提供一个解决方案,以便轻松组织恶意软件和采集样本,以及你的脚本。有关更多信息,请访问 viper.li 。 是一个开放。bsd许可的开放开发工作,严重依赖整个社区的
恶意程序在cuckoo沙箱中产生的Windows API序列数据集
01-05
将恶意程序在cuckoo沙箱中模拟运行得到Windows系统的API序列。可以使用机器学习算法来对不同的恶意程序进行划分(分类)。
Maltrieve:开源恶意软件收集与分析工具
gitblog_00074的博客
09-14 406
Maltrieve:开源恶意软件收集与分析工具 项目介绍 Maltrieve 是一个开源的恶意软件收集工具,最初作为 mwcrawler 的分支项目启动。Maltrieve 能够直接从多个恶意软件源站点获取恶意软件样本,帮助安全研究人员和分析师快速收集和分析恶意软件。 项目技术分析 技术栈 Maltrieve 主要基于 Python 开发,依赖于以下几个关键库: BeautifulSoup 4:...
使用自动化恶意软件分析cuckoo分析exe程序
weixin_30725467的博客
08-12 273
Cuckoo是一款监控函数调用,监控文件读写,监控注册表读写等的自动化恶意分析软件。 括apk、exe、pdf等多种文件的分析,将任务提交给数据库,host从数据库中读取任务,将样本放入虚拟机中运行,返回报告文件.. 目前我只完成对于exe部分的源码阅读、调试和使用,推荐一下。 安装使用方法: https://www.cnblogs.com/aliflycoris/p/...
cuckoo framework
Cuckoo Framework
05-07 370
 http://cuckooframework.sourceforge.net/index.html
Cuckoo沙箱各Ubuntu版本安装及使用_cuckoo sandbox 安装(1)
04-07 1241
启动webcuckoo web#通过http://localhost:8000#也可以通过ip访问 http://host ip:8080#如果需要设置后台可以使用nohup或者&#无法绑定结果服务器”错误意味着杜鹃无法 绑定用于获取分析日志的组件,发生这种情况是因为您的虚拟接口关闭或丢失。需要重新启动接口进行绑定#新建网卡。
linux sandbox 软件下载,开源软件 cuckoo sandbox 学习 (一) 安装使用
weixin_39593469的博客
05-09 334
本帖最后由 helloman 于 2013-10-5 17:12 编辑http://labs.alienvault.com/labs/index.php/2012/hardening-cuckoo-sandbox-against-vm-aware-malware/1. 环境搭建ref http://docs.cuckoosandbox.org/en/latest/ref http://www.be...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

哆啦安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值