Cuckoo是一款監控函數調用,監控文件讀寫,監控注冊表讀寫等的自動化惡意分析軟件。
包括apk、exe、pdf等多種文件的分析,將任務提交給數據庫,host從數據庫中讀取任務,將樣本放入虛擬機中運行,返回報告文件..
目前我只完成對於exe部分的源碼閱讀、調試和使用,推薦一下。
安裝使用方法: https://www.cnblogs.com/aliflycoris/p/9004871.html
在github搜索cuckoo可以搜到最新的DLL源碼和cuckoo源碼,cuckoo需要安裝交叉編譯環境。
自己造了一個程序,createprocess 函數 啟動calc
分析結果可以設置為json、html等,我設置為html,比較方便查看
分析結果包括靜態文件:
包括文件的基本信息、導入表信息、節表信息
注冊表操作
最后是函數的調用行為: 很清楚的記錄了函數調用
在使用和研究中也遇到一系列問題,希望大家能共同學習,一起探討。
cuckoo安卓部分:http://cuckoo-droid.readthedocs.io/en/latest/
在線樣本提交網站:https://malwr.com/analysis/ (已失效)