• XSS.stack #1 – первый литературный журнал от юзеров форума

Статья Динамический анализ файлов VirtualBox+Python

Отслеживать
500mhz сказал(а):
Велосипед
Есть https://cuckoosandbox.org/ очень легко кастомизируется для этих целей.
1. Она не совместима с Python 3. У меня были потуги её портировать, но я забил из-за объёма.
2. Она требует установки дополнительных зависимостей.
3. Её гостевые дополнения не очень хорошо совместимы с Windows 10 (судя по докам и отзывам).
А так да, хороший софт, но немного другого направления :)
 
Pernat1y сказал(а):
1. Она не совместима с Python 3. У меня были потуги её портировать, но я забил из-за объёма.
2. Она требует установки дополнительных зависимостей.
3. Её гостевые дополнения не очень хорошо совместимы с Windows 10 (судя по докам и отзывам).
А так да, хороший софт, но немного другого направления :)
1) Python 3 не показатель
2) pip?
3) гостевые не надо ставить, они не нужны. АВ на них будет false positive делать
 
500mhz сказал(а):
1) Python 3 не показатель
2) pip?
3) гостевые не надо ставить, они не нужны. АВ на них будет false positive делать
1, 2. Я не говорю, что после завершения поддержки Python 2 все скрипты сразу превратятся в тыкву, просто на многих системах, из-коробки, идёт только третий. Т.е придётся доставлять python2, python2-pip, плюс зависимости.
3. Ок. Я думал, что они нужны для запуска файла внутри ВМ. Могу ошибаться.

Как я уже говорил, я не претендую на замену кукушки. Мне просто был интересен процесс написания.
 
Pernat1y сказал(а):
1, 2. Я не говорю, что после завершения поддержки Python 2 все скрипты сразу превратятся в тыкву, просто на многих системах, из-коробки, идёт только третий. Т.е придётся доставлять python2, python2-pip, плюс зависимости.
3. Ок. Я думал, что они нужны для запуска файла внутри ВМ. Могу ошибаться.

Как я уже говорил, я не претендую на замену кукушки. Мне просто был интересен процесс написания.
3) они нужны для анализа поведения семпла

Я просто делал мод кукушки для своего "вирустотала", и яж не против процесса написания )
1) выпиливаем все аддоны в guest от кукушки
2) впиливаем в скрипты выборку логов с guest на host
3) на host скриптом добавляем анализ в mongoDB (кукушкин)
4) смотрим все красиво на вебморде кукушки
 
Кстати лайфхак как обнаружить детект без всякого говна типа анализа скринов.
Практически в любом АВ есть папочка "карантин" по дефолту она пустая, думаю мысль понятна )
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Тсу огромное спасибо, что выпустил данную статью и создал такой замечательный скрипт, который облегчит рутинную работу.
Но все же, что будет с виртуалками после этих "тестов"?
К примеру захотел я протестировать свой билд на детекты. (криптолокер)
После запуска его на виртуалках он шифрует всю систему.
После тестов я должен буду снести все виртуалки и поставить их заново? Правильно понимаю?)
 
Тупой вопрос: если мне надо на ВМ с виндой запустить ехе, далее отследить все используемые АПИ в автоматическом режиме - ЧТО посоветуйте сделать? На текущий момент я использую в ручном режиме APIMonitor, но хотелось бы автоматизации.
 
NaMneCash сказал(а):
Тсу огромное спасибо, что выпустил данную статью и создал такой замечательный скрипт, который облегчит рутинную работу.
Но все же, что будет с виртуалками после этих "тестов"?
К примеру захотел я протестировать свой билд на детекты. (криптолокер)
После запуска его на виртуалках он шифрует всю систему.
После тестов я должен буду снести все виртуалки и поставить их заново? Правильно понимаю?)
Нет. Достаточно просто восстановить из снапшотов.
 
Сразу напомнило статью которую на конкурс на экспе отправлял по автоматизации ВМ, пернатый ты идею стыбрил чтоли, ахаха, шутка, я знаю ты не такой.
Создание локального Runtime чекера антивирусами, опубликовал ее тоже тут, народу будет инфа по этой теме
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/33978/
 
Последнее редактирование:
chebur сказал(а):
Нет. Достаточно просто восстановить из снапшотов.
Угу. Собственно, чистый снапшот восстанавливается до запуска ВМ и после её остановки.

merdock сказал(а):
Тупой вопрос: если мне надо на ВМ с виндой запустить ехе, далее отследить все используемые АПИ в автоматическом режиме - ЧТО посоветуйте сделать? На текущий момент я использую в ручном режиме APIMonitor, но хотелось бы автоматизации.
ProcMon из пакета SysInternals. Его и заскриптовать можно.

merdock сказал(а):
Сразу напомнило статью которую на конкурс на экспе отправлял по автоматизации ВМ, пернатый ты идею стыбрил чтоли, ахаха, шутка, я знаю ты не такой.
Создание локального Runtime чекера антивирусами, опубликовал ее тоже тут, народу будет инфа по этой теме
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/33978/
Видел её на факав. Нет, идея не оттуда :)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Сори за тупость.
1577025878900.png

Я должен клонировать эту виртуалку к примеру 5 раз и на все поставить по антивирусу?
Или будет достаточно одной виртуалки, но с разными снапшотами?
Типа:
1 виртуальная машина и 10 снапшотов. На каждом снапшоте разный антивирус.
 
NaMneCash сказал(а):
Сори за тупость.
Посмотреть вложение 7205
Я должен клонировать эту виртуалку к примеру 5 раз и на все поставить по антивирусу?
Или будет достаточно одной виртуалки, но с разными снапшотами?
Типа:
1 виртуальная машина и 10 снапшотов. На каждом снапшоте разный антивирус.
Можно одну ВМ с 10 АВ.
Можно 2 ВМ по 5 АВ. Возможно будет быстрее.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Я тупой, либо последовательность реально сложная.
Ставлю ос, настраиваю ее - ставлю ав :- делаю снапшот :- удаляю ав :- ставлю другой ав :-делаю снапшот.
Но чет мне кажется, что не так это делается.
Пробовал сперва настроить ось, сделал снапшот 123, потом поставил ав и сделал второй снапшот, но не разобрался как запуститься со снапшота 123 :klown:
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Хвала моей смекалке и настройчивости.
Я разобрался :))
ps
сижу и эксперементирую с этими снапшотами часов 10)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
(багрепорт)
Когда ав удаляет файл, а скрипт не успел его запустить - он начинает спамить командой запуска в консоль и из-за этого стопорится вся работа.
 
NaMneCash сказал(а):
Ставлю ос, настраиваю ее - ставлю ав :- делаю снапшот :- удаляю ав :- ставлю другой ав :-делаю снапшот.
Но чет мне кажется, что не так это делается.
Пробовал сперва настроить ось, сделал снапшот 123, потом поставил ав и сделал второй снапшот, но не разобрался как запуститься со снапшота 123 :klown:
Читай внимательно :)
АВ удалять не нужно - восстанавливай чистый снапшот без АВ.
Т.е ставишь и настаиваешь ОС, делаешь снапшот, на который потом будешь восстанавливаться перед установкой следующего АВ, и дальше (ставишь АВ -> делаешь новый снапшот -> восстанавливает чистый)*n раз.

NaMneCash сказал(а):
(багрепорт)
Когда ав удаляет файл, а скрипт не успел его запустить - он начинает спамить командой запуска в консоль и из-за этого стопорится вся работа.
Буду дэбажить и фиксить :)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Pernat1y сказал(а):
Читай внимательно :)
АВ удалять не нужно - восстанавливай чистый снапшот без АВ.
Т.е ставишь и настаиваешь ОС, делаешь снапшот, на который потом будешь восстанавливаться перед установкой следующего АВ, и дальше (ставишь АВ -> делаешь новый снапшот -> восстанавливает чистый)*n раз.


Буду дэбажить и фиксить :)
можно примерные даты фикса? :)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх