cuckoo在部署阶段,只在Guest系统里塞了一个agent,这个agent在运行阶段负责与Host端程序进行通信,从Host端接收sample, 整个客户端程序,以及配置文件。

在Host端主要的源文件为:

./lib/cuckoo/core/scheduler.py

class AnalysisManager(Thread):

    def acquire_machine(self):

// 获得虚拟机    

    def build_options(self):

//生成.conf配置文件

    def launch_analysis(self):

//启动分析过程

    def process_results(self):

//生成分析结果报告

launch_analysis会调用:

agent/agent.py

    def add_malware(self, data, name):

    def add_config(self, options):

    def add_analyzer(self, data):

    def execute(self):

执行analyser.py,由Host上传到Guest上的分析程序包含如下结构:

.

└── windows

    ├── analyzer.py

    ├── bin

    │   └── execsc.exe

    ├── dll

    │   ├── cuckoomon_bson.dll

    │   ├── cuckoomon.dll

    │   └── cuckoomon_netlog.dll

    ├── lib

    │   ├── api

    │   │   ├── __init__.py

    │   │   ├── process.py

    │   │   └── screenshot.py

    │   ├── common

    │   │   ├── abstracts.py

    │   │   ├── constants.py

    │   │   ├── defines.py

    │   │   ├── errors.py

    │   │   ├── exceptions.py

    │   │   ├── __init__.py

    │   │   ├── rand.py

    │   │   └── results.py

    │   ├── core

    │   │   ├── config.py

    │   │   ├── __init__.py

    │   │   ├── packages.py

    │   │   ├── privileges.py

    │   │   └── startup.py

    │   └── __init__.py

    └── modules

        ├── auxiliary

        │   ├── disguise.py

        │   ├── human.py

        │   ├── __init__.py

        │   └── screenshots.py

        ├── __init__.py

        └── packages

            ├── applet.py

            ├── bin.py

            ├── cpl.py

            ├── dll.py

            ├── doc.py

            ├── exe.py

            ├── generic.py

            ├── html.py

            ├── ie.py

            ├── __init__.py

            ├── jar.py

            ├── pdf.py

            ├── vbs.py

            ├── xls.py

            └── zip.py

具体的inject方法在该包的api/process.py下面

def inject(self, dll=None, apc=False):

inject方法支持两种注入方式:

QueueUserAPC

CreateRemoteThread

这两种方式的原理都是一样的,都是用LoadLibrary来替换回调函数,同时将需要加载的dll名称作为回调的参数传递给回调函数,这样回调函数一执行,相应的dll就被加载到了进行的地址空间中。

在./analyser/windows/modules/packages/下面有对于各个文件格式的sample的启动代码,基本上都是:

p = Process()

p.execute()

p.inject(dll)

p.resume()

p.close()

基本上就是,先找到启动某一类型文件的程序,然后启动它,并且注入dll进行监控。

对于shellcode,使用execsc.exe执行这段shellcode。

execsc.exe的主要源码为:

// jump into shellcode

int (*func)();

func = (int (*)()) buf;

(int)(*func)();

Cuckoo架构的更多相关文章

  1. MySQL高级知识- MySQL的架构介绍

    [TOC] 1.MySQL 简介 概述 MySQL是一个关系型数据库管理系统,由瑞典MySQL AB公司开发,目前属于Oracle公司. MySQL是一种关联数据库管理系统,将数据保存在不同的表中,而 ...

  2. node服务的监控预警系统架构

    需求背景 目前node端的服务逐渐成熟,在不少公司内部也开始承担业务处理或者视图渲染工作.不同于个人开发的简单服务器,企业级的node服务要求更为苛刻: 高稳定性.高可靠性.鲁棒性以及直观的监控和报警 ...

  3. 如何一步一步用DDD设计一个电商网站(二)—— 项目架构

    阅读目录 前言 六边形架构 终于开始建项目了 DDD中的3个臭皮匠 CQRS(Command Query Responsibility Segregation) 结语 一.前言 上一篇我们讲了DDD的 ...

  4. 浅谈 jQuery 核心架构设计

    jQuery对于大家而言并不陌生,因此关于它是什么以及它的作用,在这里我就不多言了,而本篇文章的目的是想通过对源码简单的分析来讨论 jQuery 的核心架构设计,以及jQuery 是如何利用javas ...

  5. 【深入浅出jQuery】源码浅析--整体架构

    最近一直在研读 jQuery 源码,初看源码一头雾水毫无头绪,真正静下心来细看写的真是精妙,让你感叹代码之美. 其结构明晰,高内聚.低耦合,兼具优秀的性能与便利的扩展性,在浏览器的兼容性(功能缺陷.渐 ...

  6. DDD CQRS架构和传统架构的优缺点比较

    明天就是大年三十了,今天在家有空,想集中整理一下CQRS架构的特点以及相比传统架构的优缺点分析.先提前祝大家猴年新春快乐.万事如意.身体健康! 最近几年,在DDD的领域,我们经常会看到CQRS架构的概 ...

  7. Microservice架构模式简介

    在2014年,Sam Newman,Martin Fowler在ThoughtWorks的一位同事,出版了一本新书<Building Microservices>.该书描述了如何按照Mic ...

  8. 谈一下关于CQRS架构如何实现高性能

    CQRS架构简介 前不久,看到博客园一位园友写了一篇文章,其中的观点是,要想高性能,需要尽量:避开网络开销(IO),避开海量数据,避开资源争夺.对于这3点,我觉得很有道理.所以也想谈一下,CQRS架构 ...

  9. Windows平台分布式架构实践 - 负载均衡

    概述 最近.NET的世界开始闹腾了,微软官方终于加入到了对.NET跨平台的支持,并且在不久的将来,我们在VS里面写的代码可能就可以通过Mono直接在Linux和Mac上运行.那么大家(开发者和企业)为 ...

随机推荐

  1. HTML5: HTML5 Web SQL 数据库

    ylbtech-HTML5: HTML5 Web SQL 数据库 1.返回顶部 1. HTML5 Web SQL 数据库 Web SQL 数据库 API 并不是 HTML5 规范的一部分,但是它是一个 ...

  2. mysql与navicat应用

    下载安装配置 用法 1.连接本机数据库: 打开navicat选择连接---第一个mysql---在常规下自己明明连接名和密码----确定 我这边建立了本机测试库 2. 连接阿里云服务器上的mysql ...

  3. Java DOM解析器 - 查询XML文档

    这是需要我们查询的输入XML文件: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 <?xml version="1.0"?> ...

  4. Head First PHP &MySQL学习笔记

      最近一段时间在学习PHP,买了<Head First PHP&MySQL>中文版这本书,之前买过<Head First设计模式>,感觉这系列的书籍总体来说很不错. ...

  5. 100个常用js代码(转载)

    作者:小萧ovo链接:https://zhuanlan.zhihu.com/p/23076321来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. JavaScript定点 ...

  6. 三、函数 (SUM、MIN、MAX、COUNT、AVG)

    第八章 使用数据处理函数 8.1 函数 SQL支持利用函数来处理数据.函数一般是在数据上执行的,给数据的转换和处理提供了方便. 每一个DBMS都有特定的函数.只有少数几个函数被所有主要的DBMS等同的 ...

  7. 【Neo4j查询优化系列】如何快速统计节点的关系数

    在图数据库中我们经常需要统计节点上的关系数目.一种常见的查询写法是这样的: MATCH (n:Person {name:'Keanu Reeves'})-[]-() RETURN count(*); ...

  8. filter-method 在elementUI 表格中的使用

    <el-table-column prop="pubArea" // 表格data 中对应的字段 column-key="pubArea" // 过滤条件 ...

  9. Hooks初探

    一.创建自己的HOOkS,并进行封装 二.创建自己的HOOkS,并进行封装

  10. 安装 sysbench的 报错 /usr/bin/ld: cannot find -lmysqlclient_r 解决办法

    首先你需要找到这个库的位置 一般找的话需要将lib 给加上(注意:我这里是 -lmysqlclient_r 的报错,于是我找就找 libmysqlclient_r ) find / -name lib ...