cuckoo沙箱踩坑和填坑记录

使用cuckoo沙箱的过程中不时出现一些错误，网上几乎没有中文的问题帖，解决方法都是在github找到。在此记录一些解决方法。

Cuckoo沙箱有一本Book，里边提到一些用户问过的问题。

文件地址：https://readthedocs.org/projects/cuckoo/downloads/pdf/latest/。

CuckooCriticalError: Unable to bind ResultServer on 192.168.56.1:2042 [Errno 99] Cannot assign requested address. This usually happens when you start Cuckoo without bringing up the virtual interface associated with the ResultServer IP address. Please refer to https://cuckoo.sh/docs/faq/#troubles-problem for more information.

解决方法：先开一下虚拟机运行一下，再启动cuckoo。

报错：没有m2crypto 0.24.0（一定要这个版本，安装比这新的版本会接着报错）

要安装swig，libssl-dev，libpcre3，libpcre3-dev，gcc-multilib
用pip安装m2crypto0.24.0的过程中常会出错，如下面这个：
error: ‘CRYPTO_NUM_LOCKS’ undeclared
于是采用https://github.com/cuckoosandbox/cuckoo/issues/2606中网友leniwiec16的方案，整套执行下来还是有错，在python中 import M2Crypto 时会报错：
ImportError: M2Crypto/__m2crypto.so: undefined symbol: sk_find_ex
之后寻遍百度谷歌也找不到能解决这个问题的方法。
后来想到，我是在conda环境中安装cuckoo的，而官方建议在virtualenv环境下运行，于是换用一个virtualenv环境，问题解决。

报错：virtual machine hasn’t been able to contact back to the cuckoo host

把iptables卸掉，把ufw关掉。虚拟机里的防火墙也得关了。（虚拟机可以不用联网）。
确保虚拟机里的agent.pyw处于运行状态（任务管理器中能看到pythonw后台程序）
更新：发现配置好iptables转发规则后，host-only的虚拟机能联网……转发规则如下（仅供参考）：
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.56.0/24 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.56.0/24 -j ACCEPT

Analysis results folder does not contain any behavior log files (报告中没有behavior的部分)

把虚拟机中的UAC（用户账号管理）关掉，避免在运行程序时弹出弹框问是否运行。

CuckooPackageError: Unable to execute the initial process, analysis aborted

在分析迅雷的安装程序时报的错。后来发现分析一个virusshare的样本时也有同样的报错。
按网上的说法，虚拟机中的登录账号需要是administrator。
先激活之：
net user administrator /active:yes
然后注销当前账号并登录administrator
以后的操作中要确保agent.py由admin启动（有时开机时先自动登录了非管理员账号并根据设置的开机自启项启动了agent.py，这时就可能出错）

Warning: It appears that you haven’t loaded any Cuckoo Signatures.

cuckoo推荐这个cuckoo签名，说有了它可以让分析得的信息更丰富，也让打分更准确。命令行执行
cuckoo community即可。
附：官网举了四点cuckoo签名的用处：

通过解析一些独特的行为特征（如文件名或互斥锁）来将恶意软件划分到某个恶意软件家族。

发现恶意软件在系统上所作的一些修改，比如下载驱动。

通过解析一些只有某家族的恶意软件才会有的特定操作，进而识别出恶意软件所属范畴。

对样本进行分类（恶意/未知类型（这么称是因为正常软件种类繁多而无法分类））

使用REST API提交任务时，报错：AttributeError: ‘Request’ object has no attribute 'is_xhr’

出错的地方在werkzeug包里，是Flask包的版本依赖问题，按网友的说法，将werkzeug降为0.17即可（原来是1.0.1）。

使用python调用REST API后的401错误

一般是http请求头部的authorization字段值的问题，需要有 Authorization: Bearer \<TOKEN\> ，其中token值在cuckoo.conf中配置，找到设置api_token值的那一行并设置其值（或使用cuckoo为用户生成的默认token值）

调用REST API提交任务后cuckoo后台发现没有任务在进行

本人在jupyter notebook中写代码调用REST API，并因为401错误而改过authorization。重新运行当前jupyter页面的kernel，问题解决。

使用REST API提交大量文件后，cuckoo后台出现同时starting任务的情况，并且之后会报错： (sqlite3.OperationalError) database is locked

在操作中发现提交文件较少的话就没这个问题，但本人一次提交几百个文件会有这个问题。
使用cuckoo的web界面提交一整个文件夹（其中有超过1000个文件）则常会卡住，久久无反应。最后用命令行执行命令的方法，执行cuckoo submit <存放可执行文件的目录>，成功提交多个任务。
使用REST API出现的锁数据库的问题暂时不知道如何解决。也许应该先关了cuckoo后台，等把文件都提交完了之后，再运行cuckoo。

Error enumerating exported functions: ‘Invalid NT Headers signature’.

遇到一次，之后没出现过。暂无解决方法。

某些文件出现 Analysis timeout hit, terminating analysis. 报告中无behavioral分析。

分析文件的timeout的设置再cuckoo.conf中的timeouts节中，默认是120秒。
在提交任务时加上--timeout选项，长一点，如300秒。
发现有一些是因为缺失了dll（弹窗报错），但cuckoo模拟点击操作没有作用到弹窗的按钮上，最后才timeout。

启动cuckoo时的报错：The maximum number of open files is low (4096). If you do not increase it, you may run into errors later on.

/etc/security/limits.conf文件限制着用户可以使用的最大文件数，最大线程，最大内存等资源使用量。在该文件末尾添加：
* hard nofile 500000
* soft nofile 500000
root hard nofile 500000
root soft nofile 500000

ERROR: Virtual machine /status failed. HTTPConnectionPool(host=‘192.168.56.3’, port=8000): Read timed out. (read timeout=5)

这个链接https://github.com/cuckoosandbox/cuckoo/issues/2965提到解决方法是修改iptables规则。
本人的实践中发现即使对同一exe文件，这个问题时有时无。而导致这个问题的原因是虚拟机中的agent程序没有响应，有可能是网络不通的问题，也有可能是虚拟机本身系统出问题了，比如卡死。分析发现本人的情况可能是后者，于是进入虚拟机，发现CPU占用率100%，几乎不降，鼠标也卡，于是关机后增加CPU核数（原先只有1核），再重启，保存快照，问题解决。

2020.09.22：发现沙箱在分析zeroaccess时也出现了这个问题（所有zeroaccess样本均是）。目前尚未分析其原因。

WindowsError

当虚拟机系统为win10时，有时会出现此错误；换成win7则没有。原因暂不明。

cuckoo沙箱踩坑和填坑记录相关推荐

jQuery Mobile使用中遇到的坑！填坑很难，但很有成就感。。
jQuery Mobile使用中遇到的坑!填坑很难,但很有成就感.. 最近参与到一个项目的前端开发中,为了提高用户体验使用到了jQuery Mobile.主要是用到了页面过渡效果,这种效果可以做到页面 ...
WebBrowser，挖坑，跳坑，填坑
最近在 C# Asp.net 平台上的一个项目中用到了 WebBrowser 控件.自然而然就进入了一连串的坑了.用网络上一同行的话"用WebBrowse,就是在给自己挖坑". ...
Ubuntu安装搜狗输入法以及入坑和填坑教程（多图！全！）
本人招坑体质,Ubuntu下安装搜狗输入法尝试了两种安装方法,入了两次坑,在论坛和度娘那看了好多方法,备受摧残之后终于装上了,于是总结了一个比较全面的图文并茂的教程. 我用的Ubuntu版本是16.0 ...
从Myeclipe转向Idea，各种遇坑与填坑经验，持续更新(图文)
我相信超过90%的java开发人员在刚开始学习java的第一个ide都是eclipse,没错,我也是,并且在工作过后,公司用的是Myeclipse,操作习惯其实和eclipse无差.有些人由于某些原因 ...
利用arccatalog做空间数据迁移的各种坑及填坑
首先介绍背景,公司用的Java后台,oracle数据库,gis服务用的是ARCgis,公司项目前期,给S省中的两市部署并应用过 ,通过多年表现出色,服务令客户满意,后来全省也要使用这个系统,然后全省使 ...
linux nacos启动_nacos初体验-踩坑与填坑篇
最近在看 RuoYi 的分布式微服务架构权限管理系统,RuoYi 的注册中心和配置中心都是采用 alibaba 的 nacos,本文主要介绍使用 Windows10 电脑安装 nacos 1.3.2 ...
Linux启动nacos成功日志_nacos初体验踩坑与填坑篇
点击上方"蓝字"关注我们最近在看 RuoYi 的分布式微服务架构权限管理系统,RuoYi 的注册中心和配置中心都是采用 alibaba 的 nacos,本文主要介绍使用 Wind ...
Mask R-CNN 训练自己的数据集—踩坑与填坑
作者 | Raini 出品 | 北京图特摩斯科技有限公司(thutmose.cn) tensorflow/keras版(项目地址https://github.com/matterport). 服务器c ...
分享一次自己使用 pyecharts 模块画地图，一路踩坑和填坑的经历
pyecharts是一个百度做的数据可视化模块,做好的echarts图可以存为html\svg等多种格式,具有极好的交互性和展示性. 文档很详细,先把官网中文文档放上来:http://pyechart ...

cuckoo沙箱踩坑和填坑记录

cuckoo沙箱踩坑和填坑记录相关推荐

最新文章

热门文章