Skip to content

インストール

Jump to bottom
t-tani edited this page Jun 17, 2019 · 2 revisions

1.MalConfScanのインストール
2.MalConfScan-with-Cuckooのインストール

MalConfScan と MalConfScan-with-Cuckoo のインストール は virtualenv のPython仮想環境下で行うことを推奨します。

1. MalConfScanのインストール

以下のページを参考にMalConfScan を Cuckoo サーバへインストールする。

GitHub - JPCERTCC/MalConfScan - インストール

2. MalConfScan-with-Cuckooのインストール

MalConfScan-with-Cuckoo のインストール手順は以下のドキュメントを参考にして作成してます。

Development with the Python Package | Cuckoo Sandbox Docs

2.1. MalConfScan-with-Cuckoo のリポジトリを GitHub からクローン

$ git clone https://github.com/jpcertcc/malconfscan-with-cuckoo.git

2.2. Cuckoo(v2.0.6) のリポジトリを GitHub からクローン

$ git clone -b 2.0.6 https://github.com/cuckoosandbox/cuckoo.git

2.3. クローンした Cuckoo のリポジトリにパッチを適用

Cuckoo で MalConfScan を使えるようにパッチを適用します。

Cuckoo のリポジトリルートへ移動

$ cd cuckoo

malconfscan.patch でCukcooにパッチ適用

$ patch -p1 < ../MalConfScan-with-Cuckoo/malconfscan.patch

2.4. Cuckooをインストールするために必要なパッケージをインストールします。

以下のCuckooの公式ドキュメントを参考に進めてください。

Requirements | Cuckoo Sandbox Docs

2.5. Cuckooのインストール

Cuckooのリポジトリルートへ移動

$ cd [git-root-of-Cuckoo]

Cuckooのインストール実行

$ python stuff/monitor.py

$ python setup.py sdist develop

2.6. Cuckoo Working Directory を作成します

$ cuckoo --cwd /opt/cuckoo

Cuckoo Working Directoryの詳細は以下の公式ドキュメントを参照ください。

Create Cuckoo Working Directory | Cuckoo Sandbox Docs

2.7. MalConfScan-with-Cuckoo の設定

以下通り、Cuckooの設定ファイルを編集することで MalConfScan-with-Cuckoo を使用できるようになります。

MalConfScan プラグインの有効化

  • /opt/cuckoo/conf/memory.conf

[malconfscan]
enabled = yes
filter = no

メモリイメージの分析を有効化

  • /opt/cuckoo/conf/processing.conf

[memory]
# Create a Memory dump of the entire Virtual Muchine. This memory dump will
# then be analyzed using Volatility to locate interesting events that can be
# extract from memory.
enabled = yes

サンドボックスのホストOSのプロファイル設定

サンドボックスのホストOSのプロファイルを以下のVolatility公式ドキュメントから選択し、設定します。

Profile List | Volatility wiki - GitHub

  • /opt/cuckoo/conf/[your_vm_software].conf

osprofile = [your_sandbox_machine's_OS_profile]

または、

  • /opt/cuckoo/conf/memory.conf

[basic]
# profile to avoid wasting time identifying it
guest_profile = [your_sandbox_machine's_OS_profile]

2.8. その他の設定

Cuckooに関わる以降の設定については、Cuckooの公式ドキュメントを参考にしてください。

Installation | Cuckoo Sandbox Docs

Manual

  1. Home
  2. How to Install
  3. How to add Volatility Plugin into Cuckoo
  4. How to Use
  5. Sample Reports
  6. Anti-Anti-Analysis

マニュアル(日本語)

  1. ホーム
  2. インストール
  3. CuckooへのVolatilityプラグインの追加方法
  4. 使用方法
  5. サンプルレポート
  6. 解析妨害回避
Clone this wiki locally