Песочница с кукушкой не генерирует memory.dmp

Question

Песочница с кукушкой не генерирует memory.dmp

У меня проблема с Cuckoo Sandbox и дампом памяти, который он должен сгенерировать, чтобы иметь возможность анализировать его с помощью Volatility.

Моя проблема:

Файлы журнала Cuckoo сообщают мне, что дамп памяти был успешно создан, но он не может получить к ним доступ, потому что они не могут быть найдены. Поиск их вручную в каталоге подтверждает, что они не существуют. Cuckoo говорит мне, чтобы включить memory_dump в cuckoo.conf, который включен.

Моя версия Cuckoo и операционная система:

Кукушка: 2.0.6

Ведущий: Ubuntu 18.04.1 LTS

Гость: Win7 Ultimate, пакет обновления 1, 32-разрядная версия

Это мои конфигурационные файлы:

cuckoo.conf

memory_dump = yes

memory.conf

guest_profile = Win7SP1x86
delete_memdump = no

processing.conf

[memory]
enabled = yes

Это вывод cuckoo.log:

INFO: Successfully generated memory dump for virtual machine with label Win7 to path /home/test/.cuckoo/storage/analyses/1/memory.dmp
[...]
ERROR: VM memory dump not found: to create VM memory dumps you have to enable memory_dump in cuckoo.conf!

Любая помощь приветствуется. Если вам нужна дополнительная информация от меня, пожалуйста, дайте мне знать

Редактировать: только дамп памяти полной машины не генерируется. Если вредоносное ПО внедряется в новый процесс, создается дамп памяти, как показано в report.json

INFO: injected into process with pid 3844 and name 'iexplorer.exe'
INFO: memory dump of process with pid 3844 completed

и я также могу найти файл 3844-1.dmp в каталоге

0

windows-7 virtual-machine ubuntu-18.04 memory-dump cuckoo

Источник

user5744213 07 фев '19 в 22:47

1 ответ

Другие вопросы по тегам windows-7 virtual-machine ubuntu-18.04 memory-dump cuckoo

user10243940 21 фев '19 в 17:28 2019-02-21 17:28 · Answer 1 · 2019-02-21 17:28

Некоторое время назад у меня была похожая проблема, когда создание дампа памяти было немного противоречивым. Однако это было с более старой версией песочницы с кукушкой. В processing.conf проверьте, не установлен ли вы

    [procmemory] 
    enabled = yes

Я помню, что у меня были проблемы, когда я иногда получал полные дампы памяти, если отправлял образец через веб-интерфейс, но я не получал дампов памяти, если отправлял образец через командную строку или наоборот. Иногда я получал дампы памяти только после неудачного первого примера. Я обнаружил, что для начала лучше всего использовать что-то вроде 32-битного putty.exe. Как только дампы памяти начали работать, хотя у меня никогда не было проблемы после этого. Поэтому я никогда не документировал, что я сделал. Я помню, как играл с настройками памяти, поэтому, возможно, стоит поиграть с настройками processing.conf, включите и выключите их, чтобы посмотреть, что работает.

    [memory]
    enabled = yes

    [procmemory] 
    enabled = yes

и cuckoo.conf

    memory_dump = yes

Я знаю, что это может звучать странно, но я иногда видел разные функциональные возможности при отправке сэмплов через режим терминала или через веб-интерфейс. У меня больше нет настроек, поэтому мне не с чем сравнивать.

[Редактировать] Также убедитесь, что у вас установлены правильные зависимости https://github.com/volatilityfoundation/volatility/wiki/Linux