추가로 메모리 부분도 분석하게 할 수 있는데 이러면 결과를 받는데까지 시간이 길어진다


우선 메모리를 덤프 할수 있는 volatility를 설치하자


cd /opt

svn checkout http://volatility.googlecode.com/svn/trunk/ volatility



ls 로 확인



cd volatility

python setup.py build

python setup.py install



cd ..

svn checkout http://distorm.googlecode.com/svn/trunk/ distorm



cd distorm

python setup.py build



python setup.py install



이제 설정을 해줘야 한다


cd /opt

vim cuckoo/conf/processing.conf



[memory] 를 yes



vim cuckoo/conf/cuckoo.conf 를 아래와 같이 설정해 준다.


memory_dump = on



이제 vim cuckoo/conf/memory.conf 에 들어가서 아래 처럼 설정을 바꾸면 자세한 정보를 얻을 수 있다


대신 결과를 받기까지 시간이 오래 걸린다



이제 다시 cuckoo를 실행하고 악성코드를 업로드 해보자



결과를 받기까지 한참 걸렸다..


필요한 부분만 설정해서 받기로 하자


report에서 cuckoo.py를 실행한 터미널에 보면 이런 Task #??: ~~~~completed 라고 메시지가 뜨면 report를 볼 수 있다는 것이당



분석 결과 추가로 Volatility 부분이 나오는 걸 볼 수 있다


클릭하면 자세히 볼 수 있다.