Cuckoo沙箱调研

于 2022-12-20 17:23:40 发布
阅读量619 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 信息安全 文章标签: cuckoo
原文链接:www.baidu.com

Cuckoo沙箱官网:
https://cuckoosandbox.org/blog/207-interim-release
最新的一次更新是在2019-6-19,更新了2.0.7版本
不过根据更新里提到的内容,即使是最新的版本也没实现支持Pyhton3
在这里插入图片描述

Cuckoo源码:
https://github.com/cuckoosandbox/cuckoo/blob/master/cuckoo/

Github社区页面:
https://github.com/cuckoosandbox/community

中文文档:
https://cuckoo-sandbox.readthedocs.io/zh_CN/latest/

沙箱分析和介绍:
Cuckoo沙箱技术分析全景图
https://cloud.tencent.com/developer/article/1597020

Cuckoo源码分析
https://article.itxueyuan.com/Oeqdrn

Cuckoo签名分析
https://www.secpulse.com/archives/75180.html

Cuckoo 网络沙箱
https://sandbox.pikker.ee/analysis/2416506/summary

Cukcoo 自定义规则
https://wenku.baidu.com/view/5997757b383567ec102de2bd960590c69fc3d854.html?wkts=1671519951858&bdQuery=cuckoo+call%5B%22arguments%22%5D%5B%22control_code%22%5D

签名分析:
签名类里定义了一些基础行为:
比如Check_file,check_dll_loaded,对应程序触发了检查文件和检查加载的dll等行为。类里写成了根据pid等信息进行正则查找的函数,如果输入的查找项存在则返回True,表示触发了对应行为。

之后的签名文件,则是先通过filter_apinames和filter_categories进行过滤(没有写的话则是全部检测),只有触发了对应的api才会进行检测,之后会把对应的进程信息输入进函数进行查找,如果存在则表明命中规则
在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值