我对Cuckoo Sandbox和它应该生成的内存转储有问题,以便能够用Volatility分析它。
我的问题是:布谷鸟的日志文件告诉我,内存转储已经成功生成,但它无法访问它们,因为找不到它们。在目录中手动查找它们可以确认它们不存在。布谷鸟告诉我在启用的布谷鸟conf中启用memory_dump。
我的布谷鸟版本和操作系统是:杜鹃:2.0.6
主机:Ubuntu 18.04.1 LTS
客人:Win7 Ultimate,Service Pack 1,32位
这些是我的配置文件:杜鹃会议
memory_dump = yes
的memory.conf
guest_profile = Win7SP1x86
delete_memdump = no
的处理
[memory]
enabled = yes
INFO: Successfully generated memory dump for virtual machine with label Win7 to path /home/test/.cuckoo/storage/analyses/1/memory.dmp
[...]
ERROR: VM memory dump not found: to create VM memory dumps you have to enable memory_dump in cuckoo.conf!
任何形式的帮助都将不胜感激。如果你需要我提供更多信息,请让我知道
编辑:只有完整机器的内存转储没有生成。如果在新进程中注入恶意软件,则会生成内存转储,如report.json 中所示
INFO: injected into process with pid 3844 and name 'iexplorer.exe'
INFO: memory dump of process with pid 3844 completed
我也可以在目录中找到3844-1.dmp文件
我以前也遇到过类似的问题,内存转储的创建有点不一致。然而,这是一个老版本的杜鹃沙盒。在processing.conf中,检查是否已设置
[procmemory]
enabled = yes
我确实记得我遇到过一些问题,如果我通过web GUI提交样本,有时会得到完整的内存转储,但如果我通过命令行提交样本,则不会得到内存转储,反之亦然。有时,我只会在第一个样本失败后得到内存转储。我发现一个很好的起点是使用32位的putty.exe。一旦内存转储开始工作,尽管从那以后我就再也没有遇到过问题。所以我从来没有记录过我的所作所为。我确实记得玩过内存设置,所以可能值得玩processing.conf设置,打开和关闭它们看看什么有效。
[memory]
enabled = yes
[procmemory]
enabled = yes
和杜鹃会议
memory_dump = yes
我知道这听起来可能很奇怪,但当通过终端或webgui模式提交样本时,我有时会看到不同的功能。我不再有我的设置,所以我没有什么可以比较的。
[编辑]还要确保安装了正确的依赖项https://github.com/volatilityfoundation/volatility/wiki/Linux