Cuckoo安装后的配置工作 - APT防御产品

Cuckoo安装后的配置工作


前言

CentOS6下Cuckoo的安装教程


Cuckoo安装后的配置工作

上次写了CuckooCentOS里的安装步骤。这次是配置过程。

1

Cuckoo解压缩后的文件夹有如下几个

1604335350-0.png 

Agent文件夹里是虚拟机内要运行的程序,analyzer也是虚拟机内使用的。Conf是配置文件夹,所有的配置文件都在这里。Data是分析后的数据,样本和分析报告会在这里产生,docs是文档,lib modules这两个文件夹是程序运行需要的库文件。Utils和web分别是一些工具和web界面。

2

进入conf文件夹,有多个配置文件

图片1.png 

主要是修改cuckoo.conf  virtualbox.conf  reporting.conf这三个文件

如果要使用其他的虚拟机,如vmware esx kvm等,对应的改匹配的配置。

Cuckoo.conf

图片2.png 

前三个都可以不更改。

第一个version_check是启动时候检查更新,可以是on也可以是off,随意。

cuckoo每检查一个样本,都会把样本文件备份一次,delete_bin_copy可以选择不备份。改为on就会删除。

Machinery这个配置是选择要使用的虚拟机软件,我们用virtualbox所以就设置为virtualbox

 

3

Virtualbox.conf

图片3.png 

这个配置文件要改的地方比较多,首先是mode ,virtualbox 启动可以选择三种模式,分别是guisdl、和headless详细了解这三种模式可以看virtualbox的文档。这里简单说下

gui是常见的有图形界面的模式,headless是无图形界面的模式,虚拟机在后台运行,前台不可见,sdl模式是虚拟机在后台运行但是提供远程桌面的服务

这里根据自己需要,选择就好,想直接看样本在虚拟机里的执行过程,就选gui模式。

 

Path这个一般不用改,是vbox命令行工具的位置。

 

Machines是要使用的虚拟机的名字,如果是多个虚拟机,可以用逗号隔开。如winxp1,winxp2,winxp3

接下来的是每一个虚拟机的配置,方括号里的名字也要改成对应的虚拟机名字。

Snapshot这个是要使用的快照名称。

如果是多个虚拟机,就在后面依次追加。

 

4

最后是报告的配置,cuckoo执行完毕后生成了html报告,还有其他的中间文件,比如json数据。这里可以选择开关

图片4.png 

 

建议把不要更改这里的配置,reporthtml这里设置为打开(yes)。

 

好了,配置完毕,可以启动cuckoo.py来分析样本了。

南京东巽机神著



转载请注明出处 APT防御产品 » Cuckoo安装后的配置工作

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址