実行時のオプション
ファイル種別固有のオプション
zip
| オプション名 | 説明 |
|---|---|
| file | アーカイブ内のどのファイルを実行するかを指定します。 何も指定しないと Cuckoo は sample.exe を実行しようとします。 |
| arguments | 実行ファイルの初期プロセスに渡すコマンドライン引数を指定します。 |
| password | アーカイブのパスワードを指定します。何も指定しないと、 Cuckooはパスワードなしでアーカイブを抽出しようとするか、 パスワードに「infected」を使用します。 |
dll
| オプション名 | 説明 |
|---|---|
| function | 実行する関数を指定します。何も指定しないと、Cuckoo は DllMain を実行しようとします。 |
| arguments | DLL の初期プロセスに渡すコマンドライン引数を指定します。 |
| loader | rundll32.exe の使用するプロセス名を指定します。 (これは、特定のマルウェアが持つサンドボックス検知機能を欺くために使用されます。) |
exe
| オプション名 | 説明 |
|---|---|
| arguments | EXE の初期プロセスに渡すコマンドライン引数を指定します。 |
jar
| オプション名 | 説明 |
|---|---|
| class | 実行するクラスのパスを指定します。何も指定しないと、 Cuckoo は Jar の MANIFEST ファイルに指定された main 関数を実行しようとします。 |
applet
| オプション名 | 説明 |
|---|---|
| class | 実行するクラスの名前を指定します。このオプションは、正しい実行には必須です。 |
これらのオプションをWeb画面から入力する場合は、解析設定時に「EXTRA OPTIONS」から設定します(黄色網掛け部分)。
入力後に Enter を押下して確定しておく必要があるので注意が必要です。
解析結果ログの確認
以下に出力されています。数字は解析した順に連番で振られます。
cat .cuckoo/storage/analyses/1/analysis.log
Web画面からは Summary > Information on Execution > Show Analyzer Log から確認できます。
解析環境のメモリダンプ
以下に出力されています。数字は解析した順に連番で振られます。
.cuckoo/storage/analyses/1/memory.dmp
解析環境の通信パケット(pcap)
以下に出力されています。数字は解析した順に連番で振られます。
.cuckoo/storage/analyses/1/dump.pcap
Cuckoo 解析結果の全消去
cuckoo clean
もしくは
python cuckoo.py --clean
memory.conf
vi .cuckoo/conf/memory.conf
メモリダンプの保存が不要の場合はここで解析後に削除するよう設定できます。
## Delete memory dump after volatility processing. ##delete_memdump = no delete_memdump = yes
volatility でスキャンするモジュールはここで ON/OFF の設定ができます。
例:
[ssdt] ##enabled = yes enabled = no filter = yes
参考文献
- cuckoo/docs/book/usage at master · cuckoosandbox/cuckoo
https://github.com/cuckoosandbox/cuckoo/tree/master/docs/book/usage
更新履歴
- 2019/06/08 新規作成
