了解布谷鸟沙箱 json 报告
understanding cuckoo sandbox json report
我已经设置了 cuckoo 沙箱并且已经分析了一些恶意软件
问题是我很难理解 json 报告。谁能帮我理解以下内容:UDP、procmemory、dns_servers、http、icmp、domains、apistats、processtree
请简单介绍一下它们是什么
附上 json 报告的样本图片
提前谢谢你
好吧,我认为如果你只是 运行 一个样本,输出就非常清楚了,但无论如何,如果你想更好地理解输出,你可以检查这个
paper.
据我所知,“domains”、“DNS”、“UDP”、“TCP”……显示了样本使用这些协议进行的通信。例如,如果恶意软件试图连接到 URL,那么您将在“DNS”部分有一个 DNS 查询,在“HTTP”部分有一个 HTTP 查询,在“域”部分有一个域名和一个“ “UDP”部分中的“UDP”通信(因为 DNS 查询通常通过 UDP 协议)都与那个 URL 恶意软件尝试连接。
"apistats" 显示样本文件调用的 API 的统计信息。
“procmemory”显示内存不同区域的详细信息,包括大小、保护级别、起始地址和结束地址。
希望对您有所帮助。
我已经设置了 cuckoo 沙箱并且已经分析了一些恶意软件
问题是我很难理解 json 报告。谁能帮我理解以下内容:UDP、procmemory、dns_servers、http、icmp、domains、apistats、processtree 请简单介绍一下它们是什么 附上 json 报告的样本图片 提前谢谢你
好吧,我认为如果你只是 运行 一个样本,输出就非常清楚了,但无论如何,如果你想更好地理解输出,你可以检查这个 paper.
据我所知,“domains”、“DNS”、“UDP”、“TCP”……显示了样本使用这些协议进行的通信。例如,如果恶意软件试图连接到 URL,那么您将在“DNS”部分有一个 DNS 查询,在“HTTP”部分有一个 HTTP 查询,在“域”部分有一个域名和一个“ “UDP”部分中的“UDP”通信(因为 DNS 查询通常通过 UDP 协议)都与那个 URL 恶意软件尝试连接。
"apistats" 显示样本文件调用的 API 的统计信息。
“procmemory”显示内存不同区域的详细信息,包括大小、保护级别、起始地址和结束地址。
希望对您有所帮助。