Cuckoo Sandbox 不生成 memory.dmp

Posted 2023-04-19

【中文标题】Cuckoo Sandbox 不生成 memory.dmp

【英文标题】：Cuckoo Sandbox doesn't generate memory.dmp

【发布时间】：2019-07-02 04:03:17

【问题描述】：

我对 Cuckoo Sandbox 及其内存转储有疑问，它应该生成以便能够使用 Volatility 对其进行分析。

我的问题是：

Cuckoo 的日志文件告诉我内存转储已成功生成，但由于找不到它们而无法访问它们。在目录中手动查找它们确认它们不存在。 Cuckoo 告诉我在启用的 cuckoo.conf 中启用 memory_dump。

我的 Cuckoo 版本和操作系统是：

杜鹃：2.0.6

主机：Ubuntu 18.04.1 LTS

来宾：Win7 Ultimate，Service Pack 1，32 位

这些是我的配置文件：

cuckoo.conf

memory_dump = yes

内存.conf

guest_profile = Win7SP1x86
delete_memdump = no

处理.conf

[memory]
enabled = yes

这是 cuckoo.log 的输出：

INFO: Successfully generated memory dump for virtual machine with label Win7 to path /home/test/.cuckoo/storage/analyses/1/memory.dmp
[...]
ERROR: VM memory dump not found: to create VM memory dumps you have to enable memory_dump in cuckoo.conf!

感谢任何形式的帮助。如果您需要我提供更多信息，请告诉我

编辑：仅不生成整机的内存转储。如果恶意软件被注入到新进程中，则会生成内存转储，如 report.json 所示

INFO: injected into process with pid 3844 and name 'iexplorer.exe'
INFO: memory dump of process with pid 3844 completed

我也可以在目录中找到3844-1.dmp文件

【问题讨论】：

有人对如何解决这个问题有任何想法吗？我想我正确配置了所有配置文件，但是虽然 cuckoo 日志告诉我它成功创建了 memory.dmp，但它无处可寻

刚刚用WinXP机器作为guest进行了测试，但出现了同样的问题

【参考方案1】：

前段时间我遇到过类似的问题，内存转储创建有点不一致。然而，这是使用旧版本的布谷鸟沙箱。 在processing.conf中，查看是否设置了

    [procmemory] 
    enabled = yes

我确实记得，如果我通过 Web GUI 提交示例，有时会得到完整的内存转储，但如果我通过命令行提交示例则不会得到内存转储，反之亦然。有时我只会在第一个样本失败后得到内存转储。我发现一个好的起点是使用 32 位 putty.exe 之类的东西。一旦内存转储开始工作，尽管在那之后我再也没有遇到过问题。所以我从来没有记录我所做的事情。我确实记得玩过内存设置，所以可能值得玩一下 processing.conf 设置，打开和关闭它们看看有什么用。

    [memory]
    enabled = yes

    [procmemory] 
    enabled = yes

和 cuckoo.conf

    memory_dump = yes

我知道这听起来很奇怪，但我有时会在通过终端或 webgui 模式提交样本时看到不同的功能。我不再有我的设置，所以我没有什么可比较的。

[编辑] 还要确保您安装了正确的依赖项 https://github.com/volatilityfoundation/volatility/wiki/Linux

【讨论】：

感谢您的评论。我尝试了 headless 和 gui 模式，我在 [memory]、[procmemory] ​​和 memory_dump 的 yes/no 之间切换，但似乎没有任何改变结果。永远不会创建内存转储

我也尝试通过 webgui 提交它，但也没有改变任何东西