[网络安全提高篇] 一一九.恶意软件动态分析经典沙箱Cape的安装和基础用法详解

这篇具有很好参考价值的文章主要介绍了[网络安全提高篇] 一一九.恶意软件动态分析经典沙箱Cape的安装和基础用法详解。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

终于忙完初稿,开心地写一篇博客。 “网络安全提高班”新的100篇文章即将开启,包括Web渗透、内网渗透、靶场搭建、CVE复现、攻击溯源、实战及CTF总结,它将更加聚焦,更加深入,也是作者的慢慢成长史。换专业确实挺难的,Web渗透也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~

前文详细介绍恶意代码静态分析经典工具Capa的基础用法,以及批量提取静态特征和ATT&CK技战术,主要是从提取的静态特征Json文件中提取关键特征。这篇文章将详细讲解动态分析沙箱Cape,其是一个开源的自动恶意软件分析系统,通过自动运行和分析恶意软件,全面分析和提取恶意软件的关键特征。本文先介绍Cape沙箱的安装和基础用法,后续随着深入再分享。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!

  • Cape来源于Cuckoo沙箱,整个安装极其繁琐,需要多个系统嵌套,包括Ubuntu、Windows、Cuckoo等。这里作者介绍一种相对简单的Cape沙箱安装环境,通过我师弟集成的Cape虚拟机镜像安装,通过他允许后在此分享并表示感谢,也希望帮助更多安全童鞋和初学者。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔~

  • 自学篇工具:https://github.com/eastmountyxz/NetworkSecuritySelf-study
  • 系统安全:https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis

声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。

提高篇:(自学系列100篇目录放在文章末尾)

  • [网络安全提高班] 一〇一.网络空间安全普及和医疗数据安全防护总结
  • [网络安全提高篇] 一〇二.Metasploit技术之基础用法万字详解及MS17-010漏洞复现
  • [网络安全提高篇] 一〇三.Metasploit后渗透技术之信息收集、权限提权、移植漏洞模块和后门
  • [网络安全提高篇] 一〇四.网络渗透靶场Oracle+phpStudy本地搭建万字详解(SQL注入、XSS攻击、文件上传漏洞)
  • [网络安全提高篇] 一〇五.SQL注入之揭秘Oracle数据库注入漏洞和致命问题(联合Cream老师)
  • [网络安全提高篇] 一〇六.SQL注入之手工注入和SQLMAP入门案例详解
  • [网络安全提高篇] 一〇七.安全威胁框架理解及勒索病毒取证溯源分析(蓝队)
  • [网络安全提高篇] 一〇八.Powershell和PowerSploit脚本攻击详解 (1)
  • [网络安全提高篇] 一〇九.津门杯CTF的Web Write-Up万字详解(SSRF、文件上传、SQL注入、代码审计、中国蚁剑)
  • [网络安全提高篇] 一一〇.强网杯CTF的Web Write-Up(上) 寻宝、赌徒、EasyWeb、pop_master
  • [网络安全提高篇] 一一一.ISC会议观后感之网络安全需要新战法和新框架
  • [网络安全提高篇] 一一二.DataCon Coremail邮件安全竞赛之钓鱼邮件识别及分类
  • [网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
  • [网络安全提高篇] 一一四.Powershell恶意代码检测 (2)抽象语法树自动提取万字详解
  • [网络安全提高篇] 一一五.Powershell恶意代码检测 (3)Token关键词自动提取
  • [网络安全提高篇] 一一六.恶意代码同源分析及BinDiff软件基础用法
  • [网络安全提高篇] 一一七.恶意软件静态分析经典工具Capa基本用法
  • [网络安全提高篇] 一一八.恶意软件静态分析经典工具Capa批量提取静态特征和ATT&CK技战术
  • [网络安全提高篇] 一一九.恶意软件动态分析经典沙箱Cape的安装和基础用法详解

一.恶意软件分析

恶意软件或恶意代码分析通常包括静态分析和动态分析。特征种类如果按照恶意代码是否在用户环境或仿真环境中运行,可以划分为静态特征和动态特征。

那么,如何提取恶意软件的静态特征或动态特征呢? 因此,第一部分将简要介绍静态特征和动态特征。

1.静态特征

没有真实运行的特征,通常包括:

  • 字节码:二进制代码转换成了字节码,比较原始的一种特征,没有进行任何处理
  • IAT表:PE结构中比较重要的部分,声明了一些函数及所在位置,便于程序执行时导入,表和功能比较相关
  • Android权限表:如果你的APP声明了一些功能用不到的权限,可能存在恶意目的,如手机信息
  • 可打印字符:将二进制代码转换为ASCII码,进行相关统计
  • IDA反汇编跳转块:IDA工具调试时的跳转块,对其进行处理作为序列数据或图数据
  • 常用API函数
  • 恶意软件图像化

静态特征提取方式:

  • CAPA
    – https://github.com/mandiant/capa
  • IDA Pro
  • 安全厂商沙箱

2.动态特征

相当于静态特征更耗时,它要真正去执行代码。通常包括:
API调用关系:比较明显的特征,调用了哪些API,表述对应的功能
控制流图:软件工程中比较常用,机器学习将其表示成向量,从而进行分类
数据流图:软件工程中比较常用,机器学习将其表示成向量,从而进行分类

动态特征提取方式:

  • Cuckoo
    – https://github.com/cuckoosandbox/cuckoo
  • CAPE
    – https://github.com/kevoreilly/CAPEv2
    – https://capev2.readthedocs.io/en/latest/
  • 安全厂商沙箱

二.Cuckoo和Cape沙箱简介

1.Cuckoo沙箱简介

Cuckoo Sandbox 是一个开源的自动恶意软件分析系统,并且是经典的沙箱分析工具。Cuckoo沙箱将在几秒钟内为您提供一些详细的分析结果,概述该文件在隔离环境中执行时的情况。不像在线VirusTotal、VirusShare、微步、AnyRun、Hybrid等在线沙箱,Cuckoo可以实现本地安装和离地分析,其定制化和可控程度更高。

  • https://github.com/cuckoosandbox/cuckoo

Cuckoo Sandbox始于2010年蜜网计划中的谷歌Summer of Code项目,它最初是由Claudio“nex”Guarnieri设计和开发的。在2010年夏天开启该工作之后,第一个测试版于2011年2月5日发布,这是Cuckoo第一次公开发布。2011年3月,在谷歌Code Summer of 2011期间,Cuckoo再次被选为蜜网项目的支持项目,在此期间Dario Fernandes加入了该项目并扩展了其功能。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

Cuckoo Sandbox started as a Google Summer of Code project in 2010 within The Honeynet Project. It was originally designed and developed by Claudio “nex” Guarnieri, who is still the main developer and coordinates all efforts from joined developers and contributors.


2.Cape沙箱简介

CAPE Sandbox 是一款用于自动分析可疑文件或恶意软件的开源系统,它使用自定义组件来监视在隔离环境中运行的恶意进程的行为。CAPE来源于Cuckoo Sandbox,目的是添加自动恶意软件解包和配置提取——因此它的名字是一个缩写“配置和有效载荷提取(Config And Payload Extraction)”。自动解包允许基于Yara签名的分类,以补充网络(Suricata)和行为(API)签名。于2016年诞生。

  • https://github.com/kevoreilly/CAPEv2
  • https://capesandbox.com

CAPE Sandbox is an Open Source software for automating analysis of suspicious files. To do so it makes use of custom components that monitor the behavior of the malicious processes while running in an isolated environment.

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

CAPE被用来自动运行和分析文件,并收集全面的分析结果,概述恶意软件在孤立的Windows操作系统中运行时的行为。它可以检测以下类型的结果:

  • 由恶意软件生成的所有进程执行的win32 API调用的痕迹。
  • 恶意软件在执行过程中创建、删除和下载的文件。
  • 恶意软件进程的内存转储。
  • PCAP格式的网络流量跟踪。
  • 在执行恶意软件期间截取的Windows桌面截图。
  • 机器的全内存转储。

由于CAPE的模块化设计,它既可以作为独立的应用程序使用,也可以集成到更大的框架中。它可以用来分析:

  • Generic Windows executables
  • DLL files
  • PDF documents
  • Microsoft Office documents
  • URLs and HTML files
  • PHP scripts
  • CPL files
  • Visual Basic (VB) scripts
  • ZIP files
  • Java JAR
  • Python files
  • Almost anything else

虽然CAPE沙箱的配置和有效载荷提取是最初声明的目标,但CAPE调试器的首要目标是:为了从任意恶意软件家族中提取配置文件或解压缩有效负载,而不依赖进程转储(迟早会被坏人破坏),指令级别的监视和控制是必要的。CAPE中的新调试器遵循最大化使用处理器硬件和最小化使用Windows调试接口的原则,允许通过Yara签名或API调用在引爆期间以编程方式设置硬件断点,从入口点偷偷地检测和操纵恶意软件。这允许捕获指令跟踪,或执行操作,如控制流操作或转储内存区域。

调试器允许CAPE在其原始功能之外继续发展,这些功能现在包括了动态反规避绕过。由于现代恶意软件通常试图在沙箱中逃避分析,例如通过使用定时陷阱来进行虚拟化或API钩子检测,CAPE允许开发动态对策,结合调试器在Yara签名中的动作,来检测隐藏的恶意软件,并执行控制流程操作,迫使样品完全引爆或跳过规避动作。CAPE的动态旁路越来越多,其中包括:

  • Guloader
  • Ursnif
  • Dridex
  • Zloader
  • Formbook
  • BuerLoader
  • Pafish

CAPE利用了许多恶意软件技术或行为,允许未打包的有效载荷捕获,这些行为将导致捕获注入、提取或解压缩的有效载荷,以便进一步分析。此外,CAPE自动为每个进程创建一个进程转储,或者在DLL的情况下,为内存中的DLL模块映像创建一个进程转储。

推荐读者学习官方文档:

  • https://capev2.readthedocs.io/en/latest/
  • https://capev2.readthedocs.io/en/latest/usage/submit.html

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo


3.Cape原理

CAPE Sandbox由处理样本执行和分析的中央管理软件组成。每个分析都在一个全新的、孤立的虚拟机中启动。CAPE的基础结构由一台主机(管理软件)和一些Guest机器(用于分析的虚拟机)组成。主机Host运行管理整个分析过程的沙盒核心组件,而Guest是安全执行和分析恶意软件样本的隔离环境。

CAPE的主要架构如下图所示:

  • 推荐的设置是GNU/Linux (Ubuntu LTS最好)作为主机,Windows 7作为客户。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo


三.Cape沙箱安装过程

在介绍Cape沙箱之前,我先介绍如何安装Cape。在网上会有很多Cuckoo或Cape沙箱的安装教程,整个安装真的繁琐,需要多个系统嵌套,包括Ubuntu、Windows、Cuckoo等。这里作者介绍一种相对简单的Cape沙箱安装环境,通过我CFT师弟集成的Cape虚拟机镜像安装,通过他允许后在此分享,并表示感谢。具体步骤如下:

1.载入虚拟机镜像

第一步:安装VMware虚拟机并打开。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

第二步,利用VMware打开指定文件夹的虚拟机镜像。该集成镜像由我师弟完成,再次表示感谢。整个虚拟机内容如下:

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

第三步,导入虚拟机并存储指定位置,等待虚拟机的导入。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

第四步,导入成功后如下图所示,接着开启虚拟机。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

等待打开Ubuntu系统,如下图所示:

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

第五步,打开Ubuntu系统。

  • 密码:admin123

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

最终结果如下图所示,这是配置好的环境,接下来需要启动沙箱。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo


2.启动沙箱

第一步, 在任意文件夹中运行"sudo virtualbox",现在已经安装了一个Win7 X64专业版虚拟机。

sudo virtualbox

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

输入密码仍然为“admin123”,后续操作均是它。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

此时会启动cuckoo沙箱,如下图所示。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

如果cuckoo关闭则启动即可,如下图所示:

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

它会启动Windows 7系统,后续会调用agent.py代码执行动态分析。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

第二步, 进入/opt/CAPEv2/文件夹,运行"sudo python3 cuckoo.py"。

cd /opt/CAPEv2
sudo python3 cuckoo.py

注意输入命令按“Tab”键会自动补齐。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

对应的源文件如下图所示,集成的CAPEv2文件夹。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

第三步, 在/opt/CAPEv2/文件夹下运行"sudo python3 utils/process.py -p7 auto",参数代表优先级划分,输入多个样本时,沙箱会优先运行高优先级样本。

cd /opt/CAPEv2/
sudo python3 utils/process.py -p7 auto

类似于动态分析监控过程。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

运行的文件对应位置如下:

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

第四步,在/opt/CAPEv2/web目录下(由于环境依赖的问题,必须由指向该文件夹的shell运行该命令),运行"sudo python3 manage.py runserver 127.0.0.1:8088"(该虚拟机的8080端口已被占用,端口可自己指定)。

cd /opt/CAPEv2/web
sudo python3 manage.py runserver 127.0.0.1:8088

该操作相当于打开前段服务器,用于加载恶意软件和呈现分析结果。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

对应源文件如下:

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

至此,沙箱成功启动,共开启四个窗口分别运行各种操作。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo


四.Cape沙箱基本用法

该部分将介绍Cape沙箱的详细用法。

1.提交样本

在虚拟机的火狐中打开127.0.0.1:8088,在submit页面提交样本即可。

第一步,在虚拟机的火狐中打开127.0.0.1:8088。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

第二步, 选择需要分析的样本上传。注意,作者在环境中已设置两个样本供大家分析。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

同时,作者已将虚拟机的Tool开启,可以直接从主机中拖动需要分析的文件至指定目录进行分析。如下图所示,将HGZ和WannaCry样本。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

再次强调
在恶意软件分析中,一定要做好本机保护,包括在虚拟机隔离环境中进行分析,甚至需要断网防止沙箱逃逸。同时,本人坚决反对渗透和破坏行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护。这里仅是分享恶意软件分析背后的原理,更好地进行防护。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

选择动态分析的必要参数,比如时间为60秒。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

第三步,提交分析,调用Cape沙箱开展动态分析。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

会唤醒Cuckoo沙箱进行分析。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

完成分享后如下图所示:

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo


2.WannaCry动态分析结果查看

点击控制面板的“Recent”查看分析结果。由图可知,本文分析的结果已产生,同时有之前提交的两个样本。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

点击MD5值查看分析结果。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

Quick Overview

首先展示快速分析的基本信息,包括机器和时间等。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

下面是恶意软件动态分析的具体内容。

(1) 文件详细信息

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

(2) 签名信息(signatures)

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

可以看到生成的文件,比如WannaCry任务执行生成的“taskche.exe”,感兴趣的读者请详细看看我之前分析的WannaCry样本传播机理。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

DLL载入文件如下图所示:

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

HTTP请求可以看到WannaCry域名开关去连接的三个域名(早已下架)。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

加密和签名信息如下:

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

(3) 动态运行截屏信息

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

(4) 各种动态行为特征总结
下面是各种动态特征总结,由图可知,Cape沙箱的功能非常强大。其中比较重要的信息,比如IOCs如下图所示。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

动态API如下图所示:

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

注册表操作如下图所示:

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo


Static Analysis

静态分析结果如下图所示:

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo


Behavior Analysis

动态行为特征如下图所示:

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

该部分能看到动态API序列,极为重要的特征,如下图所示:

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo


Network Analysis

网络分析如下图所示:

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo


Process Dumps

进程特征如下:

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo


Reports

同时可以下载对应的报告,如下图所示:
恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

报告的位置如下图所示,分析结果均存储在“storage”文件夹中。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo


Statistics

统计结果如下图所示:

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo


3.其它功能介绍

整个Cape页面主要包括六个菜单:

  • Dashboard
  • Recent
  • Pending
  • Search
  • API
  • Submit

Dashboard是分析统计结果。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

Recent是最近分析的结果,需从该位置查看详细信息。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

Pending是正在分析的样本。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

Search是搜索功能。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

API是相关函数及信息。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

Submit是提交页面。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo


五.总结

写到这里这篇文章就结束,希望对您有所帮助。忙碌的三月,真的很忙,项目本子论文毕业,等忙完后好好写几篇安全博客,感谢支持和陪伴,尤其是家人的鼓励和支持, 继续加油!

2023年3月20日,终于完成初稿,凌晨迫不及待来写一篇博客,纪念下,感恩下!娜璋白首。

  • 一.恶意软件分析
    1.静态特征
    2.动态特征
  • 二.Cuckoo和Cape沙箱简介
    1.Cuckoo沙箱简介
    2.Cape沙箱简介
    3.Cape原理
  • 三.Cape沙箱安装过程
    1.载入虚拟机镜像
    2.启动沙箱
  • 四.Cape沙箱基本用法
    1.提交样本
    2.WannaCry动态分析结果查看
    – Quick Overview
    – Static Analysis
    – Behavior Analysis
    – Network Analysis
    – Process Dumps
    – Reports
    – Statistics
    3.其它功能介绍
  • 五.总结

提问:

  • 在真实样本中,恶意软件会被加壳和混淆处理,常用脱壳工具为Unipack。那么,大家可以思考下,CAPA提取的API特征都是恶意软件中均执行的吗?同时,这些关键特征是否都被提取呢?
  • 请大家思考静态特征和动态特征各自的优缺点。
  • CAPE沙箱如何实现批量提取,同时如何定制化规则呢?
  • CAPE沙箱如何捕获的API特征,通过HOOK机制吗?还有哪些可以优化的地方呢?
  • CAPE沙箱究竟能检测逃逸性、高隐蔽的恶意软件吗?尤其APT攻击的样本。
  • 如何撰写代码提取Json中所需特征,比如常见的API。
  • CAPA是经典的静态特征提取工具,那么如何提取动态特征呢?动态特征在恶意软件检测中又扮演什么角色?
  • 个人感觉静态分析和动态分析是很多年都在研究的内容,目前会与深度学习结合。那么,未来的方法将如何创新呢?怎么更好地自动化识别恶意软件行为,并且批量识别且更少依赖专家知识。

三月应该是今年最忙碌的一个月了,好多事情。希望一切顺利,更希望四月后能沉下心来读论文和写论文,继续加油,只争朝夕。

恶意软件 沙箱,网络安全自学篇,web安全,系统安全,恶意软件分析,CAPE沙箱,Cuckoo

欢迎大家讨论,是否觉得这系列文章帮助到您!任何建议都可以评论告知读者,共勉。

  • 逆向分析:https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis
  • 网络安全:https://github.com/eastmountyxz/NetworkSecuritySelf-study

(By:Eastmount 2023-03-22 夜于武汉 http://blog.csdn.net/eastmount/ )


参考文献:

  • [1] https://github.com/cuckoosandbox/cuckoo
  • [2] https://github.com/kevoreilly/CAPEv2
  • [3] https://capesandbox.com
  • [4] https://capev2.readthedocs.io/en/latest/
  • [5] https://capev2.readthedocs.io/en/latest/usage/submit.html
  • [6] Cuckoo变种-CAPE简介 - Threathunter

自学篇(链接直接跳转到正文):文章来源地址https://www.toymoban.com/news/detail-636473.html

  • [网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
  • [网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记
  • [网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
  • [网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
  • [网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
  • [网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向
  • [网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
  • [网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
  • [网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
  • [网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
  • [网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
  • [网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
  • [网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
  • [网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信(一)
  • [网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程(二)
  • [网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防护
  • [网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池(四)
  • [网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
  • [网络安全自学篇] 十九.Powershell基础入门及常见用法(一)
  • [网络安全自学篇] 二十.Powershell基础入门及常见用法(二)
  • [网络安全自学篇] 二十一.GeekPwn极客大赛之安全攻防技术总结及ShowTime
  • [网络安全自学篇] 二十二.Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
  • [网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
  • [网络安全自学篇] 二十四.基于机器学习的恶意代码识别及人工智能中的恶意代码检测
  • [网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
  • [网络安全自学篇] 二十六.Shodan搜索引擎详解及Python命令行调用
  • [网络安全自学篇] 二十七.Sqlmap基础用法、CTF实战及请求参数设置(一)
  • [网络安全自学篇] 二十八.文件上传漏洞和Caidao入门及防御原理(一)
  • [网络安全自学篇] 二十九.文件上传漏洞和IIS6.0解析漏洞及防御原理(二)
  • [网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御(三)
  • [网络安全自学篇] 三十一.文件上传漏洞之Upload-labs靶场及CTF题目01-10(四)
  • [网络安全自学篇] 三十二.文件上传漏洞之Upload-labs靶场及CTF题目11-20(五)
  • [网络安全自学篇] 三十三.文件上传漏洞之绕狗一句话原理和绕过安全狗(六)
  • [网络安全自学篇] 三十四.Windows系统漏洞之5次Shift漏洞启动计算机
  • [网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析
  • [网络安全自学篇] 三十六.WinRAR漏洞复现(CVE-2018-20250)及恶意软件自启动劫持
  • [网络安全自学篇] 三十七.Web渗透提高班之hack the box在线靶场注册及入门知识(一)
  • [网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求(二)
  • [网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法(三)
  • [网络安全自学篇] 四十.phpMyAdmin 4.8.1后台文件包含漏洞复现及详解(CVE-2018-12613)
  • [网络安全自学篇] 四十一.中间人攻击和ARP欺骗原理详解及漏洞还原
  • [网络安全自学篇] 四十二.DNS欺骗和钓鱼网站原理详解及漏洞还原
  • [网络安全自学篇] 四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验
  • [网络安全自学篇] 四十四.Windows远程桌面服务漏洞(CVE-2019-0708)复现及详解
  • [网络安全自学篇] 四十五.病毒详解及批处理病毒制作(自启动、修改密码、定时关机、蓝屏、进程关闭)
  • [网络安全自学篇] 四十六.微软证书漏洞CVE-2020-0601 (上)Windows验证机制及可执行文件签名复现
  • [网络安全自学篇] 四十七.微软证书漏洞CVE-2020-0601 (下)Windows证书签名及HTTPS网站劫持
  • [网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及常用DOS命令
  • [网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
  • [网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
  • [网络安全自学篇] 五十一.恶意样本分析及HGZ木马控制目标服务器
  • [网络安全自学篇] 五十二.Windows漏洞利用之栈溢出原理和栈保护GS机制
  • [网络安全自学篇] 五十三.Windows漏洞利用之Metasploit实现栈溢出攻击及反弹shell
  • [网络安全自学篇] 五十四.Windows漏洞利用之基于SEH异常处理机制的栈溢出攻击及shell提取
  • [网络安全自学篇] 五十五.Windows漏洞利用之构建ROP链绕过DEP并获取Shell
  • [网络安全自学篇] 五十六.i春秋老师分享小白渗透之路及Web渗透技术总结
  • [网络安全自学篇] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解(一)
  • [网络安全自学篇] 五十八.Windows漏洞利用之再看CVE-2019-0708及Metasploit反弹shell
  • [网络安全自学篇] 五十九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及shell深度提权
  • [网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
  • [网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
  • [网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
  • [网络安全自学篇] 六十三.hack the box渗透之OpenAdmin题目及蚁剑管理员提权(四)
  • [网络安全自学篇] 六十四.Windows漏洞利用之SMBv3服务远程代码执行漏洞(CVE-2020-0796)复现及详解
  • [网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
  • [网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
  • [网络安全自学篇] 六十七.WannaCry勒索病毒复现及分析(一)Python利用永恒之蓝及Win7勒索加密
  • [网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
  • [网络安全自学篇] 六十九.宏病毒之入门基础、防御措施、自发邮件及APT28样本分析
  • [网络安全自学篇] 七十.WannaCry勒索病毒复现及分析(三)蠕虫传播机制分析及IDA和OD逆向
  • [网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗
  • [网络安全自学篇] 七十二.逆向分析之OllyDbg动态调试工具(一)基础入门及TraceMe案例分析
  • [网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
  • [网络安全自学篇] 七十四.APT攻击检测溯源与常见APT组织的攻击案例
  • [网络安全自学篇] 七十五.Vulnhub靶机渗透之bulldog信息收集和nc反弹shell(三)
  • [网络安全自学篇] 七十六.逆向分析之OllyDbg动态调试工具(二)INT3断点、反调试、硬件断点与内存断点
  • [网络安全自学篇] 七十七.恶意代码与APT攻击中的武器(强推Seak老师)
  • [网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
  • [网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
  • [网络安全自学篇] 八十.WHUCTF之WEB类解题思路WP(代码审计、文件包含、过滤绕过、SQL注入)
  • [网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
  • [网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)
  • [网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
  • [网络安全自学篇] 八十四.《Windows hk编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解
  • [网络安全自学篇] 八十五.《Windows hk编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
  • [网络安全自学篇] 八十六.威胁情报分析之Python抓取FreeBuf网站APT文章(上)
  • [网络安全自学篇] 八十七.恶意代码检测技术详解及总结
  • [网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
  • [网络安全自学篇] 八十九.PE文件解析之通过Python获取时间戳判断软件来源地区
  • [网络安全自学篇] 九十.远控木马详解及APT攻击中的远控
  • [网络安全自学篇] 九十一.阿里云搭建LNMP环境及实现PHP自定义网站IP访问 (1)
  • [网络安全自学篇] 九十二.《Windows hk编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
  • [网络安全自学篇] 九十三.《Windows hk编程技术详解》之木马开机自启动技术(注册表、计划任务、系统服务)
  • [网络安全自学篇] 九十四.《Windows hk编程技术详解》之提权技术(令牌权限提升和Bypass UAC)
  • [网络安全自学篇] 九十五.利用XAMPP任意命令执行漏洞提升权限(CVE-2020-11107)

到了这里,关于[网络安全提高篇] 一一九.恶意软件动态分析经典沙箱Cape的安装和基础用法详解的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 智安网络|新型恶意软件攻击:持续威胁网络安全

    当今数字化时代,恶意软件已经成为网络安全领域中的一项巨大威胁。随着技术的不断进步,恶意软件的攻击方式也在不断演变和发展。 以下是一些目前比较常见的新型恶意软件攻击: **1.勒索软件:**勒索软件是一种恶意软件,它会加密受害者的文件,然后勒索赎金以恢复

    2024年02月13日
    浏览(38)
  • 机器学习和深度学习检测网络安全课题:DDOS检测、恶意软件、恶意流量检测课题资料

    开源的DDOS检测工具 https://github.com/equalitie/learn2ban 基于KDDCUP 99数据集预测DDoS攻击 基于谱分析与统计机器学习的DDoS攻击检测技术研究 基于机器学习的分布式拒绝服务攻击检测方法研究 DDoS Attacks Using Hidden Markov Models and Cooperative ReinforcementLearning* 恶意软件检测 https://github.com/dc

    2024年01月18日
    浏览(47)
  • 智安网络|恶意软件在网络安全中的危害与应对策略

    恶意软件是指一类具有恶意目的的软件程序,恶意软件是网络安全领域中的一个严重威胁,给个人用户、企业和整个网络生态带来巨大的危害。通过潜伏于合法软件、邮件附件、下载链接等途径传播,破坏用户计算机系统、窃取敏感信息、进行勒索等不法行为。恶意软件多种

    2024年02月13日
    浏览(47)
  • 解决恶意IP地址攻击:保卫网络安全的有效方法

    随着互联网的发展,网络安全威胁变得日益复杂,其中包括恶意IP地址攻击。这些攻击通常是网络犯罪分子的手段之一,用于入侵系统、窃取数据或进行其他恶意活动。本文将探讨如何解决恶意IP地址攻击,以保护网络安全。 恶意IP地址攻击是指来自恶意或已知的恶意来源的

    2024年02月08日
    浏览(50)
  • 卷积神经网络的安全应用:防范恶意攻击与数据保护

    卷积神经网络(Convolutional Neural Networks,简称CNN)是一种深度学习算法,主要应用于图像和语音处理领域。在近年来,CNN在计算机视觉、自然语言处理等领域取得了显著的成果,如图像分类、目标检测、语音识别等。然而,随着人工智能技术的不断发展,数据安全和恶意攻击问题

    2024年02月19日
    浏览(48)
  • IP定位应对恶意IP攻击:保护网络安全的新策略

    随着网络攻击的日益猖獗,恶意IP攻击成为网络安全领域的一大挑战。传统的安全防护手段在应对此类攻击时显得力不从心。近年来,通过IP定位这一新技术,为应对恶意IP攻击提供了新的解决思路。 IP定位技术通过分析网络流量中的IP地址,能够迅速识别并锁定可能发起攻击

    2024年01月16日
    浏览(46)
  • 计算机网络】网络安全 : 计算机网络安全威胁 ( 四种网络攻击类型 | 主动攻击与被动攻击 | 分布式拒绝服务攻击 DDos | 恶意程序 | 计算机网络安全目标)

    一、网络安全内容 网络安全内容 : 网络安全概述 对称加密 和 非对称加密 体质 数字签名 因特网安全协议 链路加密 与 端到端加密 防火墙 二、四种网络攻击 四种网络攻击 : ① 截获 : 窃听 其它的 通信内容 , 不影响网络通信 ; ② 中断 : 中断 他人 的网络通信 ; ③ 篡改 : 篡改

    2024年02月12日
    浏览(49)
  • 安全意识培训:如何提高员工网络安全意识?

    随着网络技术的不断发展和应用,网络安全已经成为企业必须关注和重视的问题。尤其是在今天,企业数字化转型的大背景下,网络安全问题日益凸显。对于企业而言,员工是企业安全的第一道防线,提高员工的网络安全意识已经成为企业安全管理的关键所在。本文将从以下

    2024年02月12日
    浏览(45)
  • 无线网络安全之隐藏无线路由器提高安全

    无线网络越来越流行,在方便我们的同时,也给我们带来了诸多我安全隐患。为了不让没有使用权限的用户非法接入,隐藏无线路由器无疑是一个好办法。 要在空气中隐藏无线路由器最直接的方法是让它停止SSID广播,SSID广播功能将无线路由器所创建的无线网络让客户端可以

    2024年02月06日
    浏览(69)
  • 区块链技术能否提高网络安全?

    区块链技术在各大行业有着广泛的应用,其众多的用例随着技术的日益成熟而与日俱增。 越来越多的公司甚至一些政府将区块链用于日常业务运营,其原因有很多包括更快的交易处理时间,透明度提高,消除中间人等等。 对于网络安全领域,区块链技术正在创造前所未有的

    2024年02月15日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包