最近因为工作需要,本人试着搭建了一下cuckoo沙箱
主要参考:
1、cuckoo的官网:https://cuckoo.sh/docs/installation/index.html,网站上介绍的很详细,如果英语好的同学可以直接按照上面的教程安装。上面的步骤比较全面,但是会很繁琐,因此我又参考了另一篇前人搭建的cuckoo教程
2、http://www.freebuf.com/sectool/108533.html,在此对原作者表示感谢。该篇博客帮助我完成了大部分搭建cuckoo沙箱的工作,但是由于cuckoo已经更新到了2.0.4版本(而此篇博客的cuckoo还是v2.0-RC1版本)因此在一些操作上面还是有很大差距,我也被困扰了很久,期间也无数次重装系统,简直崩溃!!!但是最后还是找了各种办法,最后终于解决了。在此跟各位分享一下
因为我是根据参考2开始的搭建沙箱工作,因此我采用的是Ubuntu14.04系统。cuckoo奇怪的地方就在于喜新厌旧,一旦有了新版本,老版本就支持不了,所以参考2的方法就用不了。但是也有可能是自己刚接触cuckoo,对于其理解不够,至少到发博客为止,我只能装最新版即(2.0.4)如果有大神能装老版本比如2.0.0,请不吝赐教!
前面的步骤主要是装python的相关依赖,和参考2无大区别,但是提醒各位一定不要没事儿去更新或者卸载python及相关组件,都是血的教训,因为会造成linux的系统出一些诡异的错误,很多我也不知道怎么解决。网上说是因为ubuntu很多应用与软件都是基于python的,你更新或者卸载就会出问题。
还有就是不要在root用户下来安装cuckoo或者进行相关配置,建议每次用sudo提一下权限就行。
刚开始参考2里面说到的是去cuckoo的官网去下载最新的版本,但是我去找了过后没有,最后只有在github上才能找到,至于如何通过在github(https://github.com/cuckoosandbox/cuckoo/releases)上下载安装包,然后手动安装,在官网(https://cuckoo.sh/docs/installation/index.html)上有详细介绍,再此不再介绍。cuckoo2.0.4支持pip安装,因此我采用的是pip安装,没有安装pip的必须先安装pip
$ sudo pip install -U pip setuptools
$ sudo pip install -U cuckoo
还有一点不同就是requirements.txt 文件,这里面主要是一些有关python的依赖库,直接
pip install -r requirements.txt
能简化很多步骤,但是这个文件在最新的cuckoo2.0.4里面没有,需要你下载以前的版本2.0.0,里面才有。以及后面会用到的agent.py都是需要在以前的包里才有。
还有就是virtualbox,可以去官网下载,也可以用apt-get这种方式下载,我开始采用的是手动安装,但是安装了不好用,建议大家采用
sudo apt-get install virtualbox
这种方法快捷省事,好用,亲测有效!
还有就是我遇到的一个最大的问题,最后被自己蠢哭了,就是一直找不到参考2上所说的cuckoo配置文件,最后发现新版的cuckoo将配置文件是隐藏了,结果需要 ls -a而不是ls,这样你就能找到 .cuckoo/conf 挖槽,自己真的蠢!到时候各位搭的时候应该就知道了,然后按照参考2进行配置就行。
最后启动cuckoo和开启web接口也和以前的不一样,分别是
启动:$ cuckoo 或者 $ cuckoo -d
开启web服务:$ cuckoo web runserver(如果前面你不配置的话将无法开启此服务,会提示你mongodb数据库没有开启)
我遇到的错误大概就是这么多,其余的问题,一般都是依赖没有安装好,这类问题一般百度就能解决。
说明:以上所介绍的方法和参考2所介绍的方法只能搭建起最基本的cuckoo框架,如果想加入一些具体的功能还需要安装一些特定的依赖和插件,完成特定的配置。本人尚处在起步阶段,以后有任何进展再与各位分享。