cuckoo沙箱配置部署流程
2024-05-12 21:10:11
环境以及安装前的注意事项
- 本次安装所需要构造的所有的环境的大体图
- 物理机(windows)
我的物理机是windows 10 64位
- 虚拟机管理软件(安装在物理机上)
我使用的是VMware
- 虚拟机里的虚拟机
VMware中安装Ubuntu 16.04 64位
在该ubuntu中安装virtualbox,然后再安装
windows7(x86)32位机器
也就是说我们需要在虚拟机下装一个虚拟机
所以大体的环境就是你的win10本机下装一个VMware,VMware里面装了一个Ubuntu16.04,Ubuntu16.04里面装了个windows7,其中Ubuntu称为host主机,Windows称为我们guest
- 环境及版本的问题
1. Ubuntu的版本(笔者用的是ubuntu 16.04.6,所以以下的所有测试操作以16.04.6为准)Ubuntu 16.04.6
2. windows的版本cn_windows_7_professional_x86_dvd_x15-65790.iso
3. VMware的版本VMware 15.1.0
4. Virtualbox的版本virtualbox 6.0.8(cuckoo不支持低版本的virtualbox了)
Host主机和Guest安装配置
- 以下操作基于一台刚装好的Ubuntu机器,安装过程可以百度
基本设置和更新
- 核对复制粘贴是否可用
如果不可用请先尝试执行如下命令并重启虚拟机
sudo apt-get autoremove open-vm-tools
sudo apt-get install open-vm-tools-desktop
如果仍然不行请核对安装的ubuntu版本,我就是不小心装了32位的ubuntu才导致一直不可用(可能因为物理机是64位的)
- 更新源
gedit /etc/apt/sources.list
## 16.04.4的推荐源
deb http://mirrors.aliyun.com/ubuntu/ trusty main multiverse restricted universe
deb http://mirrors.aliyun.com/ubuntu/ trusty-backports main multiverse restricted universe
deb http://mirrors.aliyun.com/ubuntu/ trusty-proposed main multiverse restricted universe
deb http://mirrors.aliyun.com/ubuntu/ trusty-security main multiverse restricted universe
deb http://mirrors.aliyun.com/ubuntu/ trusty-updates main multiverse restricted universe
deb-src http://mirrors.aliyun.com/ubuntu/ trusty main multiverse restricted universe
deb-src http://mirrors.aliyun.com/ubuntu/ trusty-backports main multiverse restricted universe
deb-src http://mirrors.aliyun.com/ubuntu/ trusty-proposed main multiverse restricted universe
deb-src http://mirrors.aliyun.com/ubuntu/ trusty-security main multiverse restricted universe
deb-src http://mirrors.aliyun.com/ubuntu/ trusty-updates main multiverse restricted universe
## 16.04.6的推荐源
deb-src http://archive.ubuntu.com/ubuntu xenial main restricted
deb http://mirrors.aliyun.com/ubuntu/ xenial main restricted
deb-src http://mirrors.aliyun.com/ubuntu/ xenial main restricted multiverse universe
deb http://mirrors.aliyun.com/ubuntu/ xenial-updates main restricted
deb-src http://mirrors.aliyun.com/ubuntu/ xenial-updates main restricted multiverse universe
deb http://mirrors.aliyun.com/ubuntu/ xenial universe
deb http://mirrors.aliyun.com/ubuntu/ xenial-updates universe
deb http://mirrors.aliyun.com/ubuntu/ xenial multiverse
deb http://mirrors.aliyun.com/ubuntu/ xenial-updates multiverse
deb http://mirrors.aliyun.com/ubuntu/ xenial-backports main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ xenial-backports main restricted universe multiverse
deb http://archive.canonical.com/ubuntu xenial partner
deb-src http://archive.canonical.com/ubuntu xenial partner
deb http://mirrors.aliyun.com/ubuntu/ xenial-security main restricted
deb-src http://mirrors.aliyun.com/ubuntu/ xenial-security main restricted multiverse universe
deb http://mirrors.aliyun.com/ubuntu/ xenial-security universe
deb http://mirrors.aliyun.com/ubuntu/ xenial-security multiverse
apt-get update && apt-get upgrade
- 终端美化(非必需)
1、安装zsh
apt-get install zsh -y
2、修改默认shell
chsh -s /bin/zsh
3、 安装Git
apt-get install git -y
4、安装oh-my-zsh
sh -c "$(curl -fsSL https://raw.github.com/robbyrussell/oh-my-zsh/master/tools/install.sh)"
5、安装zsh-syntax-highlighting语法高亮插件
git clone https://github.com/zsh-users/zsh-syntax-highlighting.git
echo "source ${(q-)PWD}/zsh-syntax-highlighting/zsh-syntax-highlighting.zsh" >> ${ZDOTDIR:-$HOME}/.zshrc
source ~/.zshrc
6、安装zsh-autosuggestions语法历史记录插件
git clone git://github.com/zsh-users/zsh-autosuggestions $ZSH_CUSTOM/plugins/zsh-autosuggestions
vim ~/.zshrc## 在zshrc的这一行加入zsh-autosuggestionsplugins=(zsh-autosuggestions)
source ~/.zshrc
依赖环境和cuckoo的安装
Git安装
apt-get install git -y
Requirements
apt-get install python python-pip python-dev libffi-dev libssl-dev -y
apt-get install python-virtualenv python-setuptools -y
apt-get install libjpeg-dev zlib1g-dev swig -y
- 配置pip源,加速pip下载
# 创建pip的配置文件
mkdir ~/.pip
touch ~/.pip/pip.conf
sudo gedit ~/.pip/pip.conf# 粘贴一下内容
[global]
index-url = http://pypi.douban.com/simple
[install]
trusted-host=pypi.douban.com# 推荐的镜像源
# 豆瓣(douban) http://pypi.douban.com/simple/ (推荐)
# 清华大学 https://pypi.tuna.tsinghua.edu.cn/simple/
# 阿里云 http://mirrors.aliyun.com/pypi/simple/
# 中国科技大学 https://pypi.mirrors.ustc.edu.cn/simple/
# 中国科学技术大学 http://pypi.mirrors.ustc.edu.cn/simple/ # pip升级后会有文件的错误,编辑以下文件内容(如果你pip能够正常不需要改)
# 实测ubuntu16.04.7无需如下修改
gedit /usr/bin/pip
from pip import main 改为 from pip._internal import main
Mongodb
apt-get install mongodb -y
Postgresql
## 可能出现安装失败,按提示安装相关依赖
apt-get install postgresql libpq-dev -y
VirtualBox
echo deb http://download.virtualbox.org/virtualbox/debian xenial contrib | sudo tee -a /etc/apt/sources.list.d/virtualbox.list
wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | sudo apt-key add -
apt-get update## 切换到你的virtualbox deb包目录下后执行以下命令
## 注意deb文件需要官网自己下载对应ubuntu的版本
dpkg -i virtualbox-6.0_6.0.8-130520~Ubuntu~xenial_amd64.deb## 如果你的机器原来安装过virtualbox,也就是你的Ubuntu,执行以下命令后再进行安装
apt remove virtualbox*
Tcpdump
apt-get install tcpdump apparmor-utils -y
aa-disable /usr/sbin/tcpdump
请注意,只有在使用默认目录时才需要apparmor禁用配置文件(aa-disable命令),CWD因为apparmor会阻止创建实际的PCAP文件(另请参阅 tcpdump的权限被拒绝)。
对于禁用apparmor的Linux平台(例如,Debian),以下命令就足以安装tcpdump:
$ sudo apt-get install tcpdump
Tcpdump需要root权限,但由于不希望Cuckoo以root身份运行,因此必须为二进制文件设置特定的Linux功能:
$ sudo groupadd pcap
$ sudo usermod -a -G pcap cuckoo
$ sudo chgrp pcap /usr/sbin/tcpdump
$ sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump
可以使用以下命令验证上一个命令的结果:
$ getcap /usr/sbin/tcpdump
/usr/sbin/tcpdump = cap_net_admin,cap_net_raw+eip
如果没有安装setcap,可以使用:
$ sudo apt-get install libcap2-bin
M2Crypto
## 如果下载速度很慢,请翻到上面pip的源配置,进行源更新
pip install m2crypto==0.24.0
Cuckoo
## 如果下载速度很慢,请翻到上面pip的源配置,进行源更新
## 下载完成安装时候可能出现如下错误
## ERROR: Package ‘pyrsistent‘ requires a different Python: 2.7.5 not in ‘>=3.5‘
## 需要更新pyrsistent的版本:pip install pyrsistent==0.15.0
pip install -U pip setuptools
pip install -U cuckoo
Cuckoo Working Directory
adduser cuckoo
mkdir /opt/cuckoo
chown cuckoo:cuckoo /opt/cuckoo
# cuckoo -cwd 可以将工作路径切换到/opt/cuckoo这个目录下,这样在这个目录下就可以看到所有的配置文件
cuckoo --cwd /opt/cuckoo
usermod -a -G sudo cuckoo
Network Config
# 创建一张网卡
vboxmanage hostonlyif create
以下几步每次ubuntu重启都需要重新设置
vboxmanage hostonlyif ipconfig vboxnet0 --ip 192.168.201.1
# 设置host与guest的转发规则
# 注意网卡与你的电脑的网卡是否对应 ifconfig可查看对应网卡
sudo iptables -A FORWARD -o ens33 -i vboxnet0 -s 192.168.201.0/24 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A POSTROUTING -t nat -j MASQUERADE# 开启转发
## 如果执行如下命令出现Bash /proc/sys/net/ipv4/ip_forward: Permission denied错误
## 可以选择如下命令之一替换执行
## sudo bash -c 'echo 1 > /proc/sys/net/ipv4/ip_forward'
## echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_forward
Guest Config
virtualbox安装windows xp
- 命令行输入virtualbox启动图形界面
- 新建虚拟机,选择对应的系统版本,虚拟机命名为cuckoo1(否则cuckoo沙箱无法识别),一直默认下一步(注意调整分配内存和存储空间)
- 新建结束,右键虚拟机设置:
点击网络,将网络改为仅主机模式并选择vboxnet0这张网卡
点击存储-没有盘片,选择已经下载好的iso镜像
注意:设置界面底部出现发现无效配置时请按要求进行设置(比如取消勾选系统栏目下的硬件加速) - 启动虚拟机,开始安装windows
安装过程:
1)需要输入产品秘钥
CM3HY-26VYW-6JRYC-X66GX-JVY2D 可用
DP7CM-PD6MC-6BKXT-M8JJ6-RPXGJ 可用
链接:http://www.xitongcheng.com/jiaocheng/xtazjc_article_33955.html
2)选择关闭自动更新(可跳过,后续再配置)
3)选择关闭防火墙(可跳过,后续再配置)
3)设置网络(可跳过,后续再配置)
4)关闭自动通知
5)点击virtualbox菜单的设备,安装增强功能,然后重启,在该栏目下勾选共享粘贴板与拖放,然后重启
以上设置可在控制面板的安全中心进行管理
# 在cmd下能ping www.baidu.com即可
静态 IP - 192.168.201.101
子网掩码 255.255.255.0
默认网关 - 192.168.201.1
DNS - any DNS server (8.8.8.8)
安装Python
- 下载 Python
python-2.7.12.msi
链接:http://www.python.org/download/ - 由于启动拖放,可直接把安装包拖到windows xp,双击安装
- 安装结束可在开始菜单启用python命令,或者自行添加环境变量(如果下边的path不行就尝试在上边创建path,添加地址)
安装pillow
需要安装pip
## cmd命令行转到C:\Python27\Scripts然后执行
easy_install.exe pip## 然后升级pip
python -m pip install --upgrade pip安装
pip install pillow
agent.py配置
# 1. 找到agent.py文件,文件所在目录如下
## /home/cuckoo/.local/lib/python2.7/site-packages/cuckoo/data/agent/agent.py
# 2. 将agent.py改名为agent.pyw
# 3. 将agent.pyw放到windows7: C:\Users\[USER]\AppData\Roaming\MicroSoft\Windows\Start Menu\Programs\Startup\
# windwos xp: C:\Documents and Settings\yfl\「开始」菜单\程序\启动
# 路径类似,只是作为参照
# user为自己的计算机登录名
然后重启,可以看到进程中存在pythonw,在命令行输入netstat -na可以看到8000端口处于监听状态
快照创建
保持windows系统处于开启,且进程中存在pythonw,点击virtualbox管理器菜单栏控制-工具-备份[系统快照],生成新的快照,取名为Snapshot1,若取为其他名字则在接下来的cuckoo配置中请于virtualbox.conf文件中修改
cuckoo配置与启动
启动以进行初始化
cuckoo -d
第一次会进行初始化配置,然后自动关闭
cuckoo配置文件修改,.cuckoo目录被隐藏,需要ctrl+H显示所有文件
- 对.cuckoo/conf/cuckoo.conf文件修改
修改resultserver栏下的ip地址为 192.168.201.1(201还是56或者其他的地址取决于你的ubuntu原ip地址) - 对.cuckoo/conf/virtualbox.conf文件修改-修改以下几项
mode = gui
machines = cuckoo1
label = cuckoo1
ip = 192.168.201.101
重新启动沙箱
cuckoo -d
注:要启动web界面需要修改reporting.conf文件,将Mongodb的配置选项改为yes
cuckoo web
本次配置参考自博文:https://blog.csdn.net/qq_38990949/article/details/103336089
并在此基础上做了更加详细的配置介绍
cuckoo沙箱配置部署流程相关推荐
- kali Linux2021安装和配置Cuckoo沙箱系统(详细教程)
kali Linux2021 中安装cuckoo沙箱系统 系统配置 主操作系统kali Linux2021 客户机操作系统windows7 kali网盘连接:https://pan.baidu.com ...
- Twitter的应急预案、部署流程
2019独角兽企业重金招聘Python工程师标准>>> <空中之城>事件 在构建Twitter的架构和系统时,我们是以周为单位来确定那些系统的性能的,我们能清楚地知道每个 ...
- activiti自己定义流程之Spring整合activiti-modeler5.16实例(四):部署流程定义
注:(1)环境搭建:activiti自己定义流程之Spring整合activiti-modeler5.16实例(一):环境搭建 (2)创建流程模型:activiti自己定义流程之Spr ...
- 红帽Linux 6.5上配置ASM流程
ASM(Automatic Storage Management)是Oracle官方推荐的软件存储解决方案.自10g版本正式推出以来,软件架构层面上ASM的地位是在不断的提升.首先是11g将ASM从数 ...
- 基于深度学习的恶意样本行为检测(含源码) ----采用CNN深度学习算法对Cuckoo沙箱的动态行为日志进行检测和分类...
from:http://www.freebuf.com/articles/system/182566.html 0×01 前言 目前的恶意样本检测方法可以分为两大类:静态检测和动态检测.静态检测是指并 ...
- Rails 应用使用 Capistrano2 部署流程
Capistrano 2 首次部署流程 修改 config/deploy.rb 和 config/deploy/production.rb bundle exec cap production dep ...
- activiti自定义流程之Spring整合activiti-modeler5.16实例(四):部署流程定义
注:(1)环境搭建:activiti自定义流程之Spring整合activiti-modeler5.16实例(一):环境搭建 (2)创建流程模型:activiti自定义流程之Sprin ...
- Azure DevOps 中 Dapr项目自动部署流程实践
注:本文中主要讨论 .NET6.0项目在 k8s 中运行的 Dapr 的持续集成流程, 但实际上不是Dapr的项目部署到K8s也是相同流程,只是k8s的yaml配置文件有所不同 流程选择 基于 Dap ...
- cuckoo沙箱常见报错总结
使用cuckoo沙箱的过程中不时出现一些错误,网上几乎没有中文的问题帖,解决方法都是在github找到.在此记录一些解决方法. 1. Cuckoo沙箱有一本Book,里边提到一些用户问过的问题. 文件 ...
最新文章
- windows 2003几个优化技巧
- ABAP Netweaver Authorization trace tool
- [2.7]【CF933A】A Twisty Movement【CF926B】Add Points【CF917A】The Monster【CF919E】Congruence Equation
- 黄学长模拟day1 球的序列
- ldap 管理_彻底改变内容管理,财务,LDAP等
- mybatis redis_SpringBoot + Mybatis + Shiro + mysql + redis智能平台源码分享
- 【java笔记】成员内部类 局部内部类 匿名内部类
- Silverlight图片处理——(伸展,裁剪,蒙版)
- Kylo调研总结(二)
- HTML七大选择器,HTML各类选择器
- iOS 图片裁剪(用户头像裁剪)
- WannaCry弱爆了!韩国IDC被Erebus软件勒索683万
- 初学verilog必看
- 热激发延迟荧光(TADF)材料ND-AC、CND-AC、NAI-BiFA、NAI-PhBiFA
- date js 减去_如何从Javascript中减去10天的日期
- Python爬虫实战:天猫商品数据爬虫使用教程
- 中国运动控制器市场深度调查及战略研究报告(2022版)
- Netkiller Linux Shell 手札之前言
- DT观察 | DT时代的核心价值是什么?听听马云和彭蕾怎么说
- 爬虫系列-jsoup爬取网页你需要了解的一切