一:沙箱
1.1. 维基百科定义:在软件安全中,沙箱是一个用来分离软件运行的安全机制。它经常用来测试代码,或者来自第三方方不受信平台的程序,或者不受信任的用户,或者不受信任的网站。我们的目标是运行一个未知或者不受信任的程序在一个独立的环境中并知道这个程序到底做了什么。
二:cuckoo简介
2.1 定义:cuckoo是一个开源的恶意软件自动分析系统。它通过运行于一个独立的操作系统中去自动运行和分析文件,并统计全面的分析结果,勾勒出恶意软件。
2.2 cuckoo获取一下几个类型的数据:
A:恶意软件产生的所有进程调用的痕迹。
B:恶意软件执行中创建,删除,下载等行为。
C:恶意软件执行过程的所有内存数据。
D:PCAP格式的网络流量数据。
E:恶意软件执行过程的截图等等
2.3 可分析文件种类:
通用的Windows可执行文件、dll文件、PDF文件、微软Office文档、URL和HTML文件、PHP脚本、CPL文件、Visual Basic(VB)脚本、zip文件、java jar、Python文件等等
