0

我对 Cuckoo Sandbox 和它应该生成的内存转储有疑问,以便能够使用 Volatility 对其进行分析。

我的问题是:

Cuckoo 的日志文件告诉我内存转储已成功生成,但由于找不到它们而无法访问它们。在目录中手动查找它们确认它们不存在。Cuckoo 告诉我在启用的 cuckoo.conf 中启用 memory_dump。

我的 Cuckoo 版本和操作系统是:

杜鹃:2.0.6

主机:Ubuntu 18.04.1 LTS

访客:Win7 Ultimate,Service Pack 1,32 位

这些是我的配置文件:

cuckoo.conf

memory_dump = yes

内存配置文件

guest_profile = Win7SP1x86
delete_memdump = no

处理.conf

[memory]
enabled = yes
这是 cuckoo.log 的输出: 
INFO: Successfully generated memory dump for virtual machine with label Win7 to path /home/test/.cuckoo/storage/analyses/1/memory.dmp
[...]
ERROR: VM memory dump not found: to create VM memory dumps you have to enable memory_dump in cuckoo.conf!

任何形式的帮助表示赞赏。如果您需要我提供更多信息,请告诉我

编辑:仅不生成整机的内存转储。如果在新进程中注入恶意软件,则会生成内存转储,如 report.json 所示

INFO: injected into process with pid 3844 and name 'iexplorer.exe'
INFO: memory dump of process with pid 3844 completed

我也可以在目录中找到3844-1.dmp文件

4

1 回答 1

0

前段时间我遇到了类似的问题,内存转储创建有点不一致。然而,这是使用旧版本的布谷鸟沙箱。在 processing.conf 中,查看是否设置了

    [procmemory] 
    enabled = yes

我确实记得,如果我通过 Web GUI 提交样本,我有时会得到完整的内存转储,但如果我通过命令行提交样本,我不会得到内存转储,反之亦然。有时我只会在第一个样本失败后得到内存转储。我发现一个好的起点是使用 32 位 putty.exe 之类的东西。一旦内存转储开始工作,尽管在那之后我再也没有遇到过问题。所以我从来没有记录我所做的事情。我确实记得玩过内存设置,因此可能值得玩一下 processing.conf 设置,打开和关闭它们以查看哪些有效。

    [memory]
    enabled = yes

    [procmemory] 
    enabled = yes

和 cuckoo.conf

    memory_dump = yes

我知道这听起来可能很奇怪,但我有时会在通过终端或 webgui 模式提交样本时看到不同的功能。我不再有我的设置,所以我没有什么可比较的。

[编辑] 还要确保您安装了正确的依赖项 https://github.com/volatilityfoundation/volatility/wiki/Linux

于 2019-02-21T17:28:59.543 回答