추가로 메모리 부분도 분석하게 할 수 있는데 이러면 결과를 받는데까지 시간이 길어진다
우선 메모리를 덤프 할수 있는 volatility를 설치하자
cd /opt
svn checkout http://volatility.googlecode.com/svn/trunk/ volatility
ls 로 확인
cd volatility
python setup.py build
python setup.py install
cd ..
svn checkout http://distorm.googlecode.com/svn/trunk/ distorm
cd distorm
python setup.py build
python setup.py install
이제 설정을 해줘야 한다
cd /opt
vim cuckoo/conf/processing.conf
[memory] 를 yes
vim cuckoo/conf/cuckoo.conf 를 아래와 같이 설정해 준다.
memory_dump = on
이제 vim cuckoo/conf/memory.conf 에 들어가서 아래 처럼 설정을 바꾸면 자세한 정보를 얻을 수 있다
대신 결과를 받기까지 시간이 오래 걸린다
이제 다시 cuckoo를 실행하고 악성코드를 업로드 해보자
결과를 받기까지 한참 걸렸다..
필요한 부분만 설정해서 받기로 하자
report에서 cuckoo.py를 실행한 터미널에 보면 이런 Task #??: ~~~~completed 라고 메시지가 뜨면 report를 볼 수 있다는 것이당
분석 결과 추가로 Volatility 부분이 나오는 걸 볼 수 있다
클릭하면 자세히 볼 수 있다.
