Cuckoo Sandbox не генерирует memory.dmp

У меня есть проблема с песочницей Cuckoo и ее дампом памяти, который он должен создать, чтобы иметь возможность анализировать его с помощью Volatility.

My issue is:

Файлы журнала Cuckoo говорят мне, что дамп памяти был успешно создан, но он не может получить к ним доступ, потому что они не могут быть найдены. Поиск их вручную в каталоге подтверждает, что они не существуют. Cuckoo говорит мне включить memory_dump в cuckoo.conf, который включен.

My Cuckoo version and operating system are:

Кукушка: 2.0.6

Хост: Ubuntu 18.04.1 LTS

Гость: Win7 Ultimate, пакет обновления 1, 32-разрядная версия

Those are my config files:

кукушка.conf

memory_dump = yes

memory.conf

guest_profile = Win7SP1x86
delete_memdump = no

обработка.conf

[memory]
enabled = yes
This is the output of the cuckoo.log: 
INFO: Successfully generated memory dump for virtual machine with label Win7 to path /home/test/.cuckoo/storage/analyses/1/memory.dmp
[...]
ERROR: VM memory dump not found: to create VM memory dumps you have to enable memory_dump in cuckoo.conf!

Любая помощь приветствуется. Если вам нужна дополнительная информация от меня, пожалуйста, дайте мне знать

Изменить: не создается только дамп памяти полной машины. Если вредоносное ПО внедряется в новый процесс, создается дамп памяти, как показано в файле report.json.

INFO: injected into process with pid 3844 and name 'iexplorer.exe'
INFO: memory dump of process with pid 3844 completed

и я также могу найти файл 3844-1.dmp в каталоге


ubuntu-18.04 virtual-machine windows-7 cuckoo memory-dump
person pharZyde    schedule 07.02.2019    source источник
comment
у кого-нибудь есть идеи, как это решить? Я думаю, что я правильно настроил все файлы конфигурации, но, хотя журнал кукушки сообщает мне, что он успешно создал memory.dmp, его нигде не найти.   -  person pharZyde    schedule 15.02.2019
comment
только что протестировал его с машиной WinXP в качестве гостя, но возникает та же проблема   -  person pharZyde    schedule 15.02.2019

Ответы (1)


arrow_upward
0
arrow_downward

У меня была аналогичная проблема некоторое время назад, когда создание дампа памяти было немного непоследовательным. Однако это было со старой версией песочницы с кукушкой. В processing.conf проверьте, установили ли вы

    [procmemory] 
    enabled = yes

Я помню, что у меня были проблемы, когда я иногда получал полные дампы памяти, если я отправлял образец через веб-интерфейс, но я не получал дампы памяти, если я отправлял образец через командную строку или наоборот. Иногда я получал дампы памяти только после неудачного первого образца. Я обнаружил, что неплохо начать с чего-то вроде 32-битного putty.exe. Как только дампы памяти начали работать, хотя после этого у меня никогда не было проблем. Поэтому я никогда не документировал то, что я сделал. Я помню, как игрался с настройками памяти, поэтому, возможно, стоит поиграться с настройками processing.conf, включать и выключать их, чтобы посмотреть, что работает.

    [memory]
    enabled = yes

    [procmemory] 
    enabled = yes

и cuckoo.conf

    memory_dump = yes

Я знаю, это может показаться странным, но иногда я видел разные функции при отправке образцов как через терминал, так и через веб-интерфейс. У меня уже нет своего устройства, поэтому мне не с чем сравнивать.

[Изменить] Также убедитесь, что у вас установлены правильные зависимости https://github.com/volatilityfoundation/volatility/wiki/Linux

person bosco    schedule 21.02.2019
comment
Спасибо за ваш комментарий. Я пробовал безголовый режим и режим графического интерфейса, я переключался между да / нет для [memory], [procmemory] и memory_dump, но, похоже, ничего не меняет результат. дамп памяти никогда не создается - person pharZyde; 08.03.2019
comment
Я также пытался отправить его через веб-интерфейс, но это тоже ничего не изменило - person pharZyde; 09.03.2019