Как получить имя файла анализа, отправленное в Cuckoo

Я использую Cuckoo для анализа вредоносных программ в Ubuntu 18.04. Итак, я добавил пользовательский файл с именем powershelutil.py под cuckoo/analyzer/windows/modules/packages выполнить собственный сценарий PowerShell и сохранить результаты в файле. Как я могу получить доступ к имени файла анализа и коду SHA256 представленного файла во время работы вредоносной программы внутри ВМ? Кукушка хранит эту информацию где-нибудь? Мне нужны эти данные для создания папки и имени файла со значением SHA256

powershelutil.py

import subprocess
import logging
import time
import os

from lib.common.abstracts import Package

log = logging.getLogger(__name__)

class ExecuteScript(Package):
    """"Execute PowerShell code and send reports to host"""
    PATHS = [
        ("System32", "WindowsPowerShell", "v1.0", "powershell.exe"),
        ("System32", "WindowsPowerShell", "v2.0", "powershell.exe"),
        ("System32", "WindowsPowerShell", "v3.0", "powershell.exe"),
    ]

    def start(self, path):
        powershell = self.get_path("PowerShell")
        path=r"C:\Users\Cuckoo\Desktop\PowerShellScripts\GetGuestMachineReportsWhenMalwareExecuting.ps1"
        args = [
            "-NoProfile", "-ExecutionPolicy", "unrestricted", "-File", path
        ];
        f = open(r"C:\logs.txt", "w");
        f.write(r" start method invoked ");

        self.execute(powershell, args=args, trigger="file:%s" % path)

    def finish(self):
        path = r"C:\Users\Cuckoo\Desktop\PowerShellScripts\SendReportToHost.ps1"
        powershell = self.get_path("PowerShell")
        args = [
            "-NoProfile", "-ExecutionPolicy", "unrestricted", "-File", path
        ];
        f = open(r"C:\logs.txt", "w");
        f.write(r" End method invoked ");

        self.execute(powershell, args=args, trigger="file:%s" % path)
        time.sleep(10);
Источник

0 ответов

Другие вопросы по тегам