2023年7月23日发(作者：)

cuckoo沙箱配置部署流程环境以及安装前的注意事项本次安装所需要构造的所有的环境的⼤体图1. 物理机（windows）我的物理机是windows 10 64位2. 虚拟机管理软件（安装在物理机上）我使⽤的是VMware3. 虚拟机⾥的虚拟机VMware中安装Ubuntu 16.04 64位在该ubuntu中安装virtualbox，然后再安装windows7(x86)32位机器也就是说我们需要在虚拟机下装⼀个虚拟机所以⼤体的环境就是你的win10本机下装⼀个VMware，VMware⾥⾯装了⼀个Ubuntu16.04，Ubuntu16.04⾥⾯装了个windows7，其中Ubuntu称为host主机，Windows称为我们guest环境及版本的问题1. Ubuntu的版本(笔者⽤的是ubuntu 16.04.6，所以以下的所有测试操作以16.04.6为准) Ubuntu 16.04.62. windows的版本 cn_windows_7_professional_x86_dvd_3. VMware的版本 VMware 15.1.04. Virtualbox的版本 virtualbox 6.0.8(cuckoo不⽀持低版本的virtualbox了)Host主机和Guest安装配置以下操作基于⼀台刚装好的Ubuntu机器，安装过程可以百度基本设置和更新核对复制粘贴是否可⽤如果不可⽤请先尝试执⾏如下命令并重启虚拟机sudo apt-get autoremove open-vm-toolssudo apt-get install open-vm-tools-desktop如果仍然不⾏请核对安装的ubuntu版本，我就是不⼩⼼装了32位的ubuntu才导致⼀直不可⽤（可能因为物理机是64位的）更新源gedit /etc/apt/## 16.04.4的推荐源deb /ubuntu/ trusty main multiverse restricted universedeb /ubuntu/ trusty-backports main multiverse restricted universedeb /ubuntu/ trusty-proposed main multiverse restricted universedeb /ubuntu/ trusty-security main multiverse restricted universedeb /ubuntu/ trusty-updates main multiverse restricted universedeb-src /ubuntu/ trusty main multiverse restricted universedeb-src /ubuntu/ trusty-backports main multiverse restricted universedeb-src /ubuntu/ trusty-proposed main multiverse restricted universedeb-src /ubuntu/ trusty-security main multiverse restricted universedeb-src /ubuntu/ trusty-updates main multiverse restricted universe## 16.04.6的推荐源deb-src /ubuntu xenial main restricteddeb /ubuntu/ xenial main restricteddeb-src /ubuntu/ xenial main restricted multiverse universedeb /ubuntu/ xenial-updates main restricteddeb-src /ubuntu/ xenial-updates main restricted multiverse universedeb /ubuntu/ xenial universedeb /ubuntu/ xenial-updates universedeb /ubuntu/ xenial multiversedeb /ubuntu/ xenial-updates multiversedeb /ubuntu/ xenial-backports main restricted universe multiversedeb-src /ubuntu/ xenial-backports main restricted universe multiversedeb /ubuntu xenial partnerdeb-src /ubuntu xenial partnerdeb /ubuntu/ xenial-security main restricteddeb-src /ubuntu/ xenial-security main restricted multiverse universedeb /ubuntu/ xenial-security universedeb /ubuntu/ xenial-security multiverseapt-get update && apt-get upgrade终端美化（⾮必需）1、安装zshapt-get install zsh -y2、修改默认shellchsh -s /bin/zsh3、 安装Gitapt-get install git -y4、安装oh-my-zshsh -c "$(curl -fsSL /robbyrussell/oh-my-zsh/master/tools/)"5、安装zsh-syntax-highlighting语法⾼亮插件git clone /zsh-users/o "source ${(q-)PWD}/zsh-syntax-highlighting/" >> ${ZDOTDIR:-$HOME}/.zshrcsource ~/.zshrc6、安装zsh-autosuggestions语法历史记录插件git clone git:///zsh-users/zsh-autosuggestions $ZSH_CUSTOM/plugins/zsh-autosuggestionsvim ~/.zshrc## 在zshrc的这⼀⾏加⼊zsh-autosuggestions plugins=( zsh-autosuggestions )source ~/.zshrc依赖环境和cuckoo的安装Git安装apt-get install git -yRequirementsapt-get install python python-pip python-dev libffi-dev libssl-dev -yapt-get install python-virtualenv python-setuptools -yapt-get install libjpeg-dev zlib1g-dev swig -y配置pip源，加速pip下载# 创建pip的配置⽂件mkdir ~/.piptouch ~/.pip/do gedit ~/.pip/# 粘贴⼀下内容[global]

index-url = /simple

[install]

trusted-host=# 推荐的镜像源# ⾖瓣(douban) /simple/ (推荐)

# 清华⼤学 /simple/

# 阿⾥云 /pypi/simple/

# 中国科技⼤学 /simple/

# 中国科学技术⼤学 /simple/

# pip升级后会有⽂件的错误，编辑以下⽂件内容(如果你pip能够正常不需要改)# 实测ubuntu16.04.7⽆需如下修改gedit /usr/bin/pipfrom pip import main 改为 from pip._internal import mainMongodbapt-get install mongodb -yPostgresql## 可能出现安装失败，按提⽰安装相关依赖apt-get install postgresql libpq-dev -yVirtualBoxecho deb /virtualbox/debian xenial contrib | sudo tee -a /etc/apt/.d/et -q /download/oracle_vbox_ -O- | sudo apt-key add -apt-get update## 切换到你的virtualbox deb包⽬录下后执⾏以下命令## 注意deb⽂件需要官⽹⾃⼰下载对应ubuntu的版本dpkg -i virtualbox-6.0_6.0.8-130520~Ubuntu~xenial_## 如果你的机器原来安装过virtualbox，也就是你的Ubuntu，执⾏以下命令后再进⾏安装apt remove virtualbox*Tcpdumpapt-get install tcpdump apparmor-utils -yaa-disable /usr/sbin/tcpdump请注意，只有在使⽤默认⽬录时才需要apparmor禁⽤配置⽂件（aa-disable命令），CWD因为apparmor会阻⽌创建实际的PCAP⽂件（另请参阅 tcpdump的权限被拒绝）。对于禁⽤apparmor的Linux平台（例如，Debian），以下命令就⾜以安装tcpdump：$ sudo apt-get install tcpdumpTcpdump需要root权限，但由于不希望Cuckoo以root⾝份运⾏，因此必须为⼆进制⽂件设置特定的Linux功能：$ sudo groupadd pcap$ sudo usermod -a -G pcap cuckoo$ sudo chgrp pcap /usr/sbin/tcpdump$ sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump可以使⽤以下命令验证上⼀个命令的结果：$ getcap /usr/sbin/tcpdump/usr/sbin/tcpdump = cap_net_admin,cap_net_raw+eip如果没有安装setcap，可以使⽤：$ sudo apt-get install libcap2-binM2Crypto## 如果下载速度很慢，请翻到上⾯pip的源配置，进⾏源更新pip install m2crypto==0.24.0Cuckoo## 如果下载速度很慢，请翻到上⾯pip的源配置，进⾏源更新## 下载完成安装时候可能出现如下错误## ERROR: Package ‘pyrsistent‘ requires a different Python: 2.7.5 not in ‘＞=3.5‘## 需要更新pyrsistent的版本：pip install pyrsistent==0.15.0pip install -U pip setuptoolspip install -U cuckooCuckoo Working Directoryadduser cuckoomkdir /opt/cuckoochown cuckoo:cuckoo /opt/cuckoo# cuckoo -cwd 可以将⼯作路径切换到/opt/cuckoo这个⽬录下，这样在这个⽬录下就可以看到所有的配置⽂件cuckoo --cwd /opt/cuckoousermod -a -G sudo cuckooNetwork Config# 创建⼀张⽹卡vboxmanage hostonlyif create以下⼏步每次ubuntu重启都需要重新设置vboxmanage hostonlyif ipconfig vboxnet0 --ip 192.168.201.1# 设置host与guest的转发规则# 注意⽹卡与你的电脑的⽹卡是否对应 ifconfig可查看对应⽹卡sudo iptables -A FORWARD -o ens33 -i vboxnet0 -s 192.168.201.0/24 -m conntrack --ctstate NEW -j ACCEPTsudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPTsudo iptables -A POSTROUTING -t nat -j MASQUERADE# 开启转发## 如果执⾏如下命令出现Bash /proc/sys/net/ipv4/ip_forward: Permission denied错误## 可以选择如下命令之⼀替换执⾏## sudo bash -c 'echo 1 > /proc/sys/net/ipv4/ip_forward'## echo 1 | sudo tee /proc/sys/net/ipv4/ip_forwardecho 1 > /proc/sys/net/ipv4/ip_forwardGuest Configvirtualbox安装windows xp1. 命令⾏输⼊virtualbox启动图形界⾯2. 新建虚拟机，选择对应的系统版本，虚拟机命名为cuckoo1（否则cuckoo沙箱⽆法识别），⼀直默认下⼀步（注意调整分配内存和存储空间）3. 新建结束，右键虚拟机设置：点击⽹络，将⽹络改为仅主机模式并选择vboxnet0这张⽹卡点击存储-没有盘⽚，选择已经下载好的iso镜像注意：设置界⾯底部出现发现⽆效配置时请按要求进⾏设置（⽐如取消勾选系统栏⽬下的硬件加速）4. 启动虚拟机，开始安装windows安装过程：1）需要输⼊产品秘钥CM3HY-26VYW-6JRYC-X66GX-JVY2D 可⽤DP7CM-PD6MC-6BKXT-M8JJ6-RPXGJ 可⽤链接：/jiaocheng/xtazjc_article_2）选择关闭⾃动更新（可跳过，后续再配置）3）选择关闭防⽕墙（可跳过，后续再配置）3）设置⽹络（可跳过，后续再配置）4）关闭⾃动通知5）点击virtualbox菜单的设备，安装增强功能，然后重启，在该栏⽬下勾选共享粘贴板与拖放，然后重启以上设置可在控制⾯板的安全中⼼进⾏管理# 在cmd下能ping 即可静态 IP - 192.168.201.101⼦⽹掩码 255.255.255.0默认⽹关 - 192.168.201.1DNS - any DNS server (8.8.8.8)安装Python1. 下载 链接：/download/2. 由于启动拖放，可直接把安装包拖到windows xp，双击安装3. 安装结束可在开始菜单启⽤python命令，或者⾃⾏添加环境变量（如果下边的path不⾏就尝试在上边创建path，添加地址）安装pillow需要安装pip## cmd命令⾏转到C:Python27Scripts然后执⾏easy_ pip## 然后升级pippython -m pip install --upgrade pip安装pip install 配置# 1. 找到⽂件，⽂件所在⽬录如下## /home/cuckoo/.local/lib/python2.7/site-packages/cuckoo/data/agent/# 2. 将改名为# 3. 将放到windows7: C:Users[USER]AppDataRoamingMicroSoftWindowsStart MenuProgramsStartup# windwos xp: C:Documents and Settingsyfl「开始」菜单程序启动# 路径类似，只是作为参照# user为⾃⼰的计算机登录名然后重启，可以看到进程中存在pythonw，在命令⾏输⼊netstat -na可以看到8000端⼝处于监听状态快照创建保持windows系统处于开启，且进程中存在pythonw，点击virtualbox管理器菜单栏控制-⼯具-备份[系统快照]，⽣成新的快照，取名为Snapshot1，若取为其他名字则在接下来的cuckoo配置中请于⽂件中修改cuckoo配置与启动启动以进⾏初始化cuckoo -d第⼀次会进⾏初始化配置，然后⾃动关闭cuckoo配置⽂件修改，.cuckoo⽬录被隐藏，需要ctrl+H显⽰所有⽂件1. 对.cuckoo/conf/⽂件修改修改resultserver栏下的ip地址为 192.168.201.1(201还是56或者其他的地址取决于你的ubuntu原ip地址)2. 对.cuckoo/conf/⽂件修改-修改以下⼏项mode = guimachines = cuckoo1label = cuckoo1ip = 192.168.201.101重新启动沙箱cuckoo -d注：要启动web界⾯需要修改⽂件，将Mongodb的配置选项改为yescuckoo web