一:沙箱
1.1. 維基百科定義:在軟件安全中驱负,沙箱是一個用來分離軟件運行的安全機制奈应。它經(jīng)常用來測試代碼浩销,或者來自第三方方不受信平臺的程序,或者不受信任的用戶谴麦,或者不受信任的網(wǎng)站蠢沿。我們的目標是運行一個未知或者不受信任的程序在一個獨立的環(huán)境中并知道這個程序到底做了什么。
二:cuckoo簡介
2.1 定義:cuckoo是一個開源的惡意軟件自動分析系統(tǒng)匾效。它通過運行于一個獨立的操作系統(tǒng)中去自動運行和分析文件舷蟀,并統(tǒng)計全面的分析結果,勾勒出惡意軟件面哼。 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??
2.2 cuckoo獲取一下幾個類型的數(shù)據(jù): ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??
A:惡意軟件產(chǎn)生的所有進程調用的痕跡野宜。
B:惡意軟件執(zhí)行中創(chuàng)建,刪除魔策,下載等行為匈子。
C:惡意軟件執(zhí)行過程的所有內存數(shù)據(jù)。
D:PCAP格式的網(wǎng)絡流量數(shù)據(jù)闯袒。
E:惡意軟件執(zhí)行過程的截圖等等
2.3 可分析文件種類:
通用的Windows可執(zhí)行文件虎敦、dll文件游岳、PDF文件、微軟Office文檔其徙、URL和HTML文件胚迫、PHP腳本、CPL文件唾那、Visual Basic(VB)腳本访锻、zip文件、java jar通贞、Python文件等等
