Cuckoo是一款监控函数调用,监控文件读写,监控注册表读写等的自动化恶意分析软件。
包括apk、exe、pdf等多种文件的分析,将任务提交给数据库,host从数据库中读取任务,将样本放入虚拟机中运行,返回报告文件..
目前我只完成对于exe部分的源码阅读、调试和使用,推荐一下。
安装使用方法: https://www.cnblogs.com/aliflycoris/p/9004871.html
在github搜索cuckoo可以搜到最新的DLL源码和cuckoo源码,cuckoo需要安装交叉编译环境。
自己造了一个程序,createprocess 函数 启动calc
分析结果可以设置为json、html等,我设置为html,比较方便查看
分析结果包括静态文件:
包括文件的基本信息、导入表信息、节表信息
注册表操作
最后是函数的调用行为: 很清楚的记录了函数调用
在使用和研究中也遇到一系列问题,希望大家能共同学习,一起探讨。
cuckoo安卓部分:http://cuckoo-droid.readthedocs.io/en/latest/
在线样本提交网站:https://malwr.com/analysis/ (已失效)