終于忙完初稿，開(kāi)心地寫(xiě)一篇博客。 “網(wǎng)絡(luò)安全提高班”新的100篇文章即將開(kāi)啟，包括Web滲透、內(nèi)網(wǎng)滲透、靶場(chǎng)搭建、CVE復(fù)現(xiàn)、攻擊溯源、實(shí)戰(zhàn)及CTF總結(jié)，它將更加聚焦，更加深入，也是作者的慢慢成長(zhǎng)史。換專業(yè)確實(shí)挺難的，Web滲透也是塊硬骨頭，但我也試試，看看自己未來(lái)四年究竟能將它學(xué)到什么程度，漫漫長(zhǎng)征路，偏向虎山行。享受過(guò)程，一起加油~

前文詳細(xì)介紹惡意代碼靜態(tài)分析經(jīng)典工具Capa的基礎(chǔ)用法，以及批量提取靜態(tài)特征和ATT&CK技戰(zhàn)術(shù)，主要是從提取的靜態(tài)特征Json文件中提取關(guān)鍵特征。這篇文章將詳細(xì)講解動(dòng)態(tài)分析沙箱Cape，其是一個(gè)開(kāi)源的自動(dòng)惡意軟件分析系統(tǒng)，通過(guò)自動(dòng)運(yùn)行和分析惡意軟件，全面分析和提取惡意軟件的關(guān)鍵特征。本文先介紹Cape沙箱的安裝和基礎(chǔ)用法，后續(xù)隨著深入再分享?；A(chǔ)性文章，希望對(duì)您有幫助，如果存在錯(cuò)誤或不足之處，還請(qǐng)海涵。且看且珍惜！

• Cape來(lái)源于Cuckoo沙箱，整個(gè)安裝極其繁瑣，需要多個(gè)系統(tǒng)嵌套，包括Ubuntu、Windows、Cuckoo等。這里作者介紹一種相對(duì)簡(jiǎn)單的Cape沙箱安裝環(huán)境，通過(guò)我?guī)煹芗傻腃ape虛擬機(jī)鏡像安裝，通過(guò)他允許后在此分享并表示感謝，也希望幫助更多安全童鞋和初學(xué)者。

作者作為網(wǎng)絡(luò)安全的小白，分享一些自學(xué)基礎(chǔ)教程給大家，主要是關(guān)于安全工具和實(shí)踐操作的在線筆記，希望您們喜歡。同時(shí)，更希望您能與我一起操作和進(jìn)步，后續(xù)將深入學(xué)習(xí)網(wǎng)絡(luò)安全和系統(tǒng)安全知識(shí)并分享相關(guān)實(shí)驗(yàn)?？傊?，希望該系列文章對(duì)博友有所幫助，寫(xiě)文不易，大神們不喜勿噴，謝謝！如果文章對(duì)您有幫助，將是我創(chuàng)作的最大動(dòng)力，點(diǎn)贊、評(píng)論、私聊均可，一起加油喔~

• 自學(xué)篇工具：https://github.com/eastmountyxz/NetworkSecuritySelf-study
• 系統(tǒng)安全：https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis

聲明：本人堅(jiān)決反對(duì)利用教學(xué)方法進(jìn)行犯罪的行為，一切犯罪行為必將受到嚴(yán)懲，綠色網(wǎng)絡(luò)需要我們共同維護(hù)，更推薦大家了解它們背后的原理，更好地進(jìn)行防護(hù)。

提高篇：（自學(xué)系列100篇目錄放在文章末尾）

• [網(wǎng)絡(luò)安全提高班] 一〇一.網(wǎng)絡(luò)空間安全普及和醫(yī)療數(shù)據(jù)安全防護(hù)總結(jié)
• [網(wǎng)絡(luò)安全提高篇] 一〇二.Metasploit技術(shù)之基礎(chǔ)用法萬(wàn)字詳解及MS17-010漏洞復(fù)現(xiàn)
• [網(wǎng)絡(luò)安全提高篇] 一〇三.Metasploit后滲透技術(shù)之信息收集、權(quán)限提權(quán)、移植漏洞模塊和后門(mén)
• [網(wǎng)絡(luò)安全提高篇] 一〇四.網(wǎng)絡(luò)滲透靶場(chǎng)Oracle+phpStudy本地搭建萬(wàn)字詳解（SQL注入、XSS攻擊、文件上傳漏洞）
• [網(wǎng)絡(luò)安全提高篇] 一〇五.SQL注入之揭秘Oracle數(shù)據(jù)庫(kù)注入漏洞和致命問(wèn)題（聯(lián)合Cream老師）
• [網(wǎng)絡(luò)安全提高篇] 一〇六.SQL注入之手工注入和SQLMAP入門(mén)案例詳解
• [網(wǎng)絡(luò)安全提高篇] 一〇七.安全威脅框架理解及勒索病毒取證溯源分析（藍(lán)隊(duì)）
• [網(wǎng)絡(luò)安全提高篇] 一〇八.Powershell和PowerSploit腳本攻擊詳解 (1)
• [網(wǎng)絡(luò)安全提高篇] 一〇九.津門(mén)杯CTF的Web Write-Up萬(wàn)字詳解（SSRF、文件上傳、SQL注入、代碼審計(jì)、中國(guó)蟻劍）
• [網(wǎng)絡(luò)安全提高篇] 一一〇.強(qiáng)網(wǎng)杯CTF的Web Write-Up(上) 尋寶、賭徒、EasyWeb、pop_master
• [網(wǎng)絡(luò)安全提高篇] 一一一.ISC會(huì)議觀后感之網(wǎng)絡(luò)安全需要新戰(zhàn)法和新框架
• [網(wǎng)絡(luò)安全提高篇] 一一二.DataCon Coremail郵件安全競(jìng)賽之釣魚(yú)郵件識(shí)別及分類
• [網(wǎng)絡(luò)安全提高篇] 一一三.Powershell惡意代碼檢測(cè) (1)論文總結(jié)及抽象語(yǔ)法樹(shù)（AST）提取
• [網(wǎng)絡(luò)安全提高篇] 一一四.Powershell惡意代碼檢測(cè) (2)抽象語(yǔ)法樹(shù)自動(dòng)提取萬(wàn)字詳解
• [網(wǎng)絡(luò)安全提高篇] 一一五.Powershell惡意代碼檢測(cè) (3)Token關(guān)鍵詞自動(dòng)提取
• [網(wǎng)絡(luò)安全提高篇] 一一六.惡意代碼同源分析及BinDiff軟件基礎(chǔ)用法
• [網(wǎng)絡(luò)安全提高篇] 一一七.惡意軟件靜態(tài)分析經(jīng)典工具Capa基本用法
• [網(wǎng)絡(luò)安全提高篇] 一一八.惡意軟件靜態(tài)分析經(jīng)典工具Capa批量提取靜態(tài)特征和ATT&CK技戰(zhàn)術(shù)
• [網(wǎng)絡(luò)安全提高篇] 一一九.惡意軟件動(dòng)態(tài)分析經(jīng)典沙箱Cape的安裝和基礎(chǔ)用法詳解

一.惡意軟件分析

惡意軟件或惡意代碼分析通常包括靜態(tài)分析和動(dòng)態(tài)分析。特征種類如果按照惡意代碼是否在用戶環(huán)境或仿真環(huán)境中運(yùn)行，可以劃分為靜態(tài)特征和動(dòng)態(tài)特征。

那么，如何提取惡意軟件的靜態(tài)特征或動(dòng)態(tài)特征呢？ 因此，第一部分將簡(jiǎn)要介紹靜態(tài)特征和動(dòng)態(tài)特征。

1.靜態(tài)特征

沒(méi)有真實(shí)運(yùn)行的特征，通常包括：

• 字節(jié)碼：二進(jìn)制代碼轉(zhuǎn)換成了字節(jié)碼，比較原始的一種特征，沒(méi)有進(jìn)行任何處理
• IAT表：PE結(jié)構(gòu)中比較重要的部分，聲明了一些函數(shù)及所在位置，便于程序執(zhí)行時(shí)導(dǎo)入，表和功能比較相關(guān)
• Android權(quán)限表：如果你的APP聲明了一些功能用不到的權(quán)限，可能存在惡意目的，如手機(jī)信息
• 可打印字符：將二進(jìn)制代碼轉(zhuǎn)換為ASCII碼，進(jìn)行相關(guān)統(tǒng)計(jì)
• IDA反匯編跳轉(zhuǎn)塊：IDA工具調(diào)試時(shí)的跳轉(zhuǎn)塊，對(duì)其進(jìn)行處理作為序列數(shù)據(jù)或圖數(shù)據(jù)
• 常用API函數(shù)
• 惡意軟件圖像化

靜態(tài)特征提取方式：

• CAPA
  – https://github.com/mandiant/capa
• IDA Pro
• 安全廠商沙箱

2.動(dòng)態(tài)特征

相當(dāng)于靜態(tài)特征更耗時(shí)，它要真正去執(zhí)行代碼。通常包括：
– API調(diào)用關(guān)系：比較明顯的特征，調(diào)用了哪些API，表述對(duì)應(yīng)的功能
– 控制流圖：軟件工程中比較常用，機(jī)器學(xué)習(xí)將其表示成向量，從而進(jìn)行分類
– 數(shù)據(jù)流圖：軟件工程中比較常用，機(jī)器學(xué)習(xí)將其表示成向量，從而進(jìn)行分類

動(dòng)態(tài)特征提取方式：

• Cuckoo
  – https://github.com/cuckoosandbox/cuckoo
• CAPE
  – https://github.com/kevoreilly/CAPEv2
  – https://capev2.readthedocs.io/en/latest/
• 安全廠商沙箱

二.Cuckoo和Cape沙箱簡(jiǎn)介

1.Cuckoo沙箱簡(jiǎn)介

Cuckoo Sandbox 是一個(gè)開(kāi)源的自動(dòng)惡意軟件分析系統(tǒng)，并且是經(jīng)典的沙箱分析工具。Cuckoo沙箱將在幾秒鐘內(nèi)為您提供一些詳細(xì)的分析結(jié)果，概述該文件在隔離環(huán)境中執(zhí)行時(shí)的情況。不像在線VirusTotal、VirusShare、微步、AnyRun、Hybrid等在線沙箱，Cuckoo可以實(shí)現(xiàn)本地安裝和離地分析，其定制化和可控程度更高。

• https://github.com/cuckoosandbox/cuckoo

Cuckoo Sandbox始于2010年蜜網(wǎng)計(jì)劃中的谷歌Summer of Code項(xiàng)目，它最初是由Claudio“nex”Guarnieri設(shè)計(jì)和開(kāi)發(fā)的。在2010年夏天開(kāi)啟該工作之后，第一個(gè)測(cè)試版于2011年2月5日發(fā)布，這是Cuckoo第一次公開(kāi)發(fā)布。2011年3月，在谷歌Code Summer of 2011期間，Cuckoo再次被選為蜜網(wǎng)項(xiàng)目的支持項(xiàng)目，在此期間Dario Fernandes加入了該項(xiàng)目并擴(kuò)展了其功能。

Cuckoo Sandbox started as a Google Summer of Code project in 2010 within The Honeynet Project. It was originally designed and developed by Claudio “nex” Guarnieri, who is still the main developer and coordinates all efforts from joined developers and contributors.

2.Cape沙箱簡(jiǎn)介

CAPE Sandbox 是一款用于自動(dòng)分析可疑文件或惡意軟件的開(kāi)源系統(tǒng)，它使用自定義組件來(lái)監(jiān)視在隔離環(huán)境中運(yùn)行的惡意進(jìn)程的行為。CAPE來(lái)源于Cuckoo Sandbox，目的是添加自動(dòng)惡意軟件解包和配置提取——因此它的名字是一個(gè)縮寫(xiě)“配置和有效載荷提?。?code>Config And Payload Extraction）”。自動(dòng)解包允許基于Yara簽名的分類，以補(bǔ)充網(wǎng)絡(luò)(Suricata)和行為(API)簽名。于2016年誕生。

• https://github.com/kevoreilly/CAPEv2
• https://capesandbox.com

CAPE Sandbox is an Open Source software for automating analysis of suspicious files. To do so it makes use of custom components that monitor the behavior of the malicious processes while running in an isolated environment.

CAPE被用來(lái)自動(dòng)運(yùn)行和分析文件，并收集全面的分析結(jié)果，概述惡意軟件在孤立的Windows操作系統(tǒng)中運(yùn)行時(shí)的行為。它可以檢測(cè)以下類型的結(jié)果:

• 由惡意軟件生成的所有進(jìn)程執(zhí)行的win32 API調(diào)用的痕跡。
• 惡意軟件在執(zhí)行過(guò)程中創(chuàng)建、刪除和下載的文件。
• 惡意軟件進(jìn)程的內(nèi)存轉(zhuǎn)儲(chǔ)。
• PCAP格式的網(wǎng)絡(luò)流量跟蹤。
• 在執(zhí)行惡意軟件期間截取的Windows桌面截圖。
• 機(jī)器的全內(nèi)存轉(zhuǎn)儲(chǔ)。

由于CAPE的模塊化設(shè)計(jì)，它既可以作為獨(dú)立的應(yīng)用程序使用，也可以集成到更大的框架中。它可以用來(lái)分析:

• Generic Windows executables
• DLL files
• PDF documents
• Microsoft Office documents
• URLs and HTML files
• PHP scripts
• CPL files
• Visual Basic (VB) scripts
• ZIP files
• Java JAR
• Python files
• Almost anything else

雖然CAPE沙箱的配置和有效載荷提取是最初聲明的目標(biāo)，但CAPE調(diào)試器的首要目標(biāo)是：為了從任意惡意軟件家族中提取配置文件或解壓縮有效負(fù)載，而不依賴進(jìn)程轉(zhuǎn)儲(chǔ)（遲早會(huì)被壞人破壞），指令級(jí)別的監(jiān)視和控制是必要的。CAPE中的新調(diào)試器遵循最大化使用處理器硬件和最小化使用Windows調(diào)試接口的原則，允許通過(guò)Yara簽名或API調(diào)用在引爆期間以編程方式設(shè)置硬件斷點(diǎn)，從入口點(diǎn)偷偷地檢測(cè)和操縱惡意軟件。這允許捕獲指令跟蹤，或執(zhí)行操作，如控制流操作或轉(zhuǎn)儲(chǔ)內(nèi)存區(qū)域。

調(diào)試器允許CAPE在其原始功能之外繼續(xù)發(fā)展，這些功能現(xiàn)在包括了動(dòng)態(tài)反規(guī)避繞過(guò)。由于現(xiàn)代惡意軟件通常試圖在沙箱中逃避分析，例如通過(guò)使用定時(shí)陷阱來(lái)進(jìn)行虛擬化或API鉤子檢測(cè)，CAPE允許開(kāi)發(fā)動(dòng)態(tài)對(duì)策，結(jié)合調(diào)試器在Yara簽名中的動(dòng)作，來(lái)檢測(cè)隱藏的惡意軟件，并執(zhí)行控制流程操作，迫使樣品完全引爆或跳過(guò)規(guī)避動(dòng)作。CAPE的動(dòng)態(tài)旁路越來(lái)越多，其中包括:

• Guloader
• Ursnif
• Dridex
• Zloader
• Formbook
• BuerLoader
• Pafish

CAPE利用了許多惡意軟件技術(shù)或行為，允許未打包的有效載荷捕獲，這些行為將導(dǎo)致捕獲注入、提取或解壓縮的有效載荷，以便進(jìn)一步分析。此外，CAPE自動(dòng)為每個(gè)進(jìn)程創(chuàng)建一個(gè)進(jìn)程轉(zhuǎn)儲(chǔ)，或者在DLL的情況下，為內(nèi)存中的DLL模塊映像創(chuàng)建一個(gè)進(jìn)程轉(zhuǎn)儲(chǔ)。

推薦讀者學(xué)習(xí)官方文檔：

• https://capev2.readthedocs.io/en/latest/
• https://capev2.readthedocs.io/en/latest/usage/submit.html

3.Cape原理

CAPE Sandbox由處理樣本執(zhí)行和分析的中央管理軟件組成。每個(gè)分析都在一個(gè)全新的、孤立的虛擬機(jī)中啟動(dòng)。CAPE的基礎(chǔ)結(jié)構(gòu)由一臺(tái)主機(jī)（管理軟件）和一些Guest機(jī)器（用于分析的虛擬機(jī)）組成。主機(jī)Host運(yùn)行管理整個(gè)分析過(guò)程的沙盒核心組件，而Guest是安全執(zhí)行和分析惡意軟件樣本的隔離環(huán)境。

CAPE的主要架構(gòu)如下圖所示：

• 推薦的設(shè)置是GNU/Linux (Ubuntu LTS最好)作為主機(jī)，Windows 7作為客戶。

三.Cape沙箱安裝過(guò)程

在介紹Cape沙箱之前，我先介紹如何安裝Cape。在網(wǎng)上會(huì)有很多Cuckoo或Cape沙箱的安裝教程，整個(gè)安裝真的繁瑣，需要多個(gè)系統(tǒng)嵌套，包括Ubuntu、Windows、Cuckoo等。這里作者介紹一種相對(duì)簡(jiǎn)單的Cape沙箱安裝環(huán)境，通過(guò)我CFT師弟集成的Cape虛擬機(jī)鏡像安裝，通過(guò)他允許后在此分享，并表示感謝。具體步驟如下：

1.載入虛擬機(jī)鏡像

第一步：安裝VMware虛擬機(jī)并打開(kāi)。

第二步，利用VMware打開(kāi)指定文件夾的虛擬機(jī)鏡像。該集成鏡像由我?guī)煹芡瓿?，再次表示感謝。整個(gè)虛擬機(jī)內(nèi)容如下：

第三步，導(dǎo)入虛擬機(jī)并存儲(chǔ)指定位置，等待虛擬機(jī)的導(dǎo)入。

第四步，導(dǎo)入成功后如下圖所示，接著開(kāi)啟虛擬機(jī)。

等待打開(kāi)Ubuntu系統(tǒng)，如下圖所示：

第五步，打開(kāi)Ubuntu系統(tǒng)。

• 密碼：admin123

最終結(jié)果如下圖所示，這是配置好的環(huán)境，接下來(lái)需要啟動(dòng)沙箱。

2.啟動(dòng)沙箱

第一步， 在任意文件夾中運(yùn)行"sudo virtualbox"，現(xiàn)在已經(jīng)安裝了一個(gè)Win7 X64專業(yè)版虛擬機(jī)。

sudo virtualbox

輸入密碼仍然為“admin123”，后續(xù)操作均是它。

此時(shí)會(huì)啟動(dòng)cuckoo沙箱，如下圖所示。

如果cuckoo關(guān)閉則啟動(dòng)即可，如下圖所示：

它會(huì)啟動(dòng)Windows 7系統(tǒng)，后續(xù)會(huì)調(diào)用agent.py代碼執(zhí)行動(dòng)態(tài)分析。

第二步， 進(jìn)入/opt/CAPEv2/文件夾，運(yùn)行"sudo python3 cuckoo.py"。

cd /opt/CAPEv2
sudo python3 cuckoo.py

注意輸入命令按“Tab”鍵會(huì)自動(dòng)補(bǔ)齊。

對(duì)應(yīng)的源文件如下圖所示，集成的CAPEv2文件夾。

第三步， 在/opt/CAPEv2/文件夾下運(yùn)行"sudo python3 utils/process.py -p7 auto"，參數(shù)代表優(yōu)先級(jí)劃分，輸入多個(gè)樣本時(shí)，沙箱會(huì)優(yōu)先運(yùn)行高優(yōu)先級(jí)樣本。

cd /opt/CAPEv2/
sudo python3 utils/process.py -p7 auto

類似于動(dòng)態(tài)分析監(jiān)控過(guò)程。

運(yùn)行的文件對(duì)應(yīng)位置如下：

第四步，在/opt/CAPEv2/web目錄下(由于環(huán)境依賴的問(wèn)題，必須由指向該文件夾的shell運(yùn)行該命令)，運(yùn)行"sudo python3 manage.py runserver 127.0.0.1:8088"(該虛擬機(jī)的8080端口已被占用，端口可自己指定)。

cd /opt/CAPEv2/web
sudo python3 manage.py runserver 127.0.0.1:8088

該操作相當(dāng)于打開(kāi)前段服務(wù)器，用于加載惡意軟件和呈現(xiàn)分析結(jié)果。

對(duì)應(yīng)源文件如下：

至此，沙箱成功啟動(dòng)，共開(kāi)啟四個(gè)窗口分別運(yùn)行各種操作。

四.Cape沙箱基本用法

該部分將介紹Cape沙箱的詳細(xì)用法。

1.提交樣本

在虛擬機(jī)的火狐中打開(kāi)127.0.0.1:8088，在submit頁(yè)面提交樣本即可。

第一步，在虛擬機(jī)的火狐中打開(kāi)127.0.0.1:8088。

第二步， 選擇需要分析的樣本上傳。注意，作者在環(huán)境中已設(shè)置兩個(gè)樣本供大家分析。

同時(shí)，作者已將虛擬機(jī)的Tool開(kāi)啟，可以直接從主機(jī)中拖動(dòng)需要分析的文件至指定目錄進(jìn)行分析。如下圖所示，將HGZ和WannaCry樣本。

再次強(qiáng)調(diào)
在惡意軟件分析中，一定要做好本機(jī)保護(hù)，包括在虛擬機(jī)隔離環(huán)境中進(jìn)行分析，甚至需要斷網(wǎng)防止沙箱逃逸。同時(shí)，本人堅(jiān)決反對(duì)滲透和破壞行為，一切犯罪行為必將受到嚴(yán)懲，綠色網(wǎng)絡(luò)需要我們共同維護(hù)。這里僅是分享惡意軟件分析背后的原理，更好地進(jìn)行防護(hù)。

選擇動(dòng)態(tài)分析的必要參數(shù)，比如時(shí)間為60秒。

第三步，提交分析，調(diào)用Cape沙箱開(kāi)展動(dòng)態(tài)分析。

會(huì)喚醒Cuckoo沙箱進(jìn)行分析。

完成分享后如下圖所示：

2.WannaCry動(dòng)態(tài)分析結(jié)果查看

點(diǎn)擊控制面板的“Recent”查看分析結(jié)果。由圖可知，本文分析的結(jié)果已產(chǎn)生，同時(shí)有之前提交的兩個(gè)樣本。

點(diǎn)擊MD5值查看分析結(jié)果。

Quick Overview

首先展示快速分析的基本信息，包括機(jī)器和時(shí)間等。

下面是惡意軟件動(dòng)態(tài)分析的具體內(nèi)容。

(1) 文件詳細(xì)信息

(2) 簽名信息（signatures）

可以看到生成的文件，比如WannaCry任務(wù)執(zhí)行生成的“taskche.exe”，感興趣的讀者請(qǐng)?jiān)敿?xì)看看我之前分析的WannaCry樣本傳播機(jī)理。

DLL載入文件如下圖所示：

HTTP請(qǐng)求可以看到WannaCry域名開(kāi)關(guān)去連接的三個(gè)域名（早已下架）。

加密和簽名信息如下：

(3) 動(dòng)態(tài)運(yùn)行截屏信息

(4) 各種動(dòng)態(tài)行為特征總結(jié)
下面是各種動(dòng)態(tài)特征總結(jié)，由圖可知，Cape沙箱的功能非常強(qiáng)大。其中比較重要的信息，比如IOCs如下圖所示。

動(dòng)態(tài)API如下圖所示：

注冊(cè)表操作如下圖所示：

Static Analysis

靜態(tài)分析結(jié)果如下圖所示：

Behavior Analysis

動(dòng)態(tài)行為特征如下圖所示：

該部分能看到動(dòng)態(tài)API序列，極為重要的特征，如下圖所示：

Network Analysis

網(wǎng)絡(luò)分析如下圖所示：

Process Dumps

進(jìn)程特征如下：

Reports

同時(shí)可以下載對(duì)應(yīng)的報(bào)告，如下圖所示：

報(bào)告的位置如下圖所示，分析結(jié)果均存儲(chǔ)在“storage”文件夾中。

Statistics

統(tǒng)計(jì)結(jié)果如下圖所示：

3.其它功能介紹

整個(gè)Cape頁(yè)面主要包括六個(gè)菜單：

• Dashboard
• Recent
• Pending
• Search
• API
• Submit

Dashboard是分析統(tǒng)計(jì)結(jié)果。

Recent是最近分析的結(jié)果，需從該位置查看詳細(xì)信息。

Pending是正在分析的樣本。

Search是搜索功能。

API是相關(guān)函數(shù)及信息。

Submit是提交頁(yè)面。

五.總結(jié)

寫(xiě)到這里這篇文章就結(jié)束，希望對(duì)您有所幫助。忙碌的三月，真的很忙，項(xiàng)目本子論文畢業(yè)，等忙完后好好寫(xiě)幾篇安全博客，感謝支持和陪伴，尤其是家人的鼓勵(lì)和支持， 繼續(xù)加油！

2023年3月20日，終于完成初稿，凌晨迫不及待來(lái)寫(xiě)一篇博客，紀(jì)念下，感恩下！娜璋白首。

• 一.惡意軟件分析
  1.靜態(tài)特征
  2.動(dòng)態(tài)特征
• 二.Cuckoo和Cape沙箱簡(jiǎn)介
  1.Cuckoo沙箱簡(jiǎn)介
  2.Cape沙箱簡(jiǎn)介
  3.Cape原理
• 三.Cape沙箱安裝過(guò)程
  1.載入虛擬機(jī)鏡像
  2.啟動(dòng)沙箱
• 四.Cape沙箱基本用法
  1.提交樣本
  2.WannaCry動(dòng)態(tài)分析結(jié)果查看
  – Quick Overview
  – Static Analysis
  – Behavior Analysis
  – Network Analysis
  – Process Dumps
  – Reports
  – Statistics
  3.其它功能介紹
• 五.總結(jié)

提問(wèn)：

• 在真實(shí)樣本中，惡意軟件會(huì)被加殼和混淆處理，常用脫殼工具為Unipack。那么，大家可以思考下，CAPA提取的API特征都是惡意軟件中均執(zhí)行的嗎？同時(shí)，這些關(guān)鍵特征是否都被提取呢？
• 請(qǐng)大家思考靜態(tài)特征和動(dòng)態(tài)特征各自的優(yōu)缺點(diǎn)。
• CAPE沙箱如何實(shí)現(xiàn)批量提取，同時(shí)如何定制化規(guī)則呢？
• CAPE沙箱如何捕獲的API特征，通過(guò)HOOK機(jī)制嗎？還有哪些可以優(yōu)化的地方呢？
• CAPE沙箱究竟能檢測(cè)逃逸性、高隱蔽的惡意軟件嗎？尤其APT攻擊的樣本。
• 如何撰寫(xiě)代碼提取Json中所需特征，比如常見(jiàn)的API。
• CAPA是經(jīng)典的靜態(tài)特征提取工具，那么如何提取動(dòng)態(tài)特征呢？動(dòng)態(tài)特征在惡意軟件檢測(cè)中又扮演什么角色？
• 個(gè)人感覺(jué)靜態(tài)分析和動(dòng)態(tài)分析是很多年都在研究的內(nèi)容，目前會(huì)與深度學(xué)習(xí)結(jié)合。那么，未來(lái)的方法將如何創(chuàng)新呢？怎么更好地自動(dòng)化識(shí)別惡意軟件行為，并且批量識(shí)別且更少依賴專家知識(shí)。

三月應(yīng)該是今年最忙碌的一個(gè)月了，好多事情。希望一切順利，更希望四月后能沉下心來(lái)讀論文和寫(xiě)論文，繼續(xù)加油，只爭(zhēng)朝夕。

歡迎大家討論，是否覺(jué)得這系列文章幫助到您！任何建議都可以評(píng)論告知讀者，共勉。

• 逆向分析：https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis
• 網(wǎng)絡(luò)安全：https://github.com/eastmountyxz/NetworkSecuritySelf-study

(By:Eastmount 2023-03-22 夜于武漢 http://blog.csdn.net/eastmount/ )

參考文獻(xiàn)：

• [1] https://github.com/cuckoosandbox/cuckoo
• [2] https://github.com/kevoreilly/CAPEv2
• [3] https://capesandbox.com
• [4] https://capev2.readthedocs.io/en/latest/
• [5] https://capev2.readthedocs.io/en/latest/usage/submit.html
• [6] Cuckoo變種-CAPE簡(jiǎn)介 - Threathunter

自學(xué)篇（鏈接直接跳轉(zhuǎn)到正文）：文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-636473.html

• [網(wǎng)絡(luò)安全自學(xué)篇] 一.入門(mén)筆記之看雪Web安全學(xué)習(xí)及異或解密示例
• [網(wǎng)絡(luò)安全自學(xué)篇] 二.Chrome瀏覽器保留密碼功能滲透解析及登錄加密入門(mén)筆記
• [網(wǎng)絡(luò)安全自學(xué)篇] 三.Burp Suite工具安裝配置、Proxy基礎(chǔ)用法及暴庫(kù)示例
• [網(wǎng)絡(luò)安全自學(xué)篇] 四.實(shí)驗(yàn)吧CTF實(shí)戰(zhàn)之WEB滲透和隱寫(xiě)術(shù)解密
• [網(wǎng)絡(luò)安全自學(xué)篇] 五.IDA Pro反匯編工具初識(shí)及逆向工程解密實(shí)戰(zhàn)
• [網(wǎng)絡(luò)安全自學(xué)篇] 六.OllyDbg動(dòng)態(tài)分析工具基礎(chǔ)用法及Crakeme逆向
• [網(wǎng)絡(luò)安全自學(xué)篇] 七.快手視頻下載之Chrome瀏覽器Network分析及Python爬蟲(chóng)探討
• [網(wǎng)絡(luò)安全自學(xué)篇] 八.Web漏洞及端口掃描之Nmap、ThreatScan和DirBuster工具
• [網(wǎng)絡(luò)安全自學(xué)篇] 九.社會(huì)工程學(xué)之基礎(chǔ)概念、IP獲取、IP物理定位、文件屬性
• [網(wǎng)絡(luò)安全自學(xué)篇] 十.論文之基于機(jī)器學(xué)習(xí)算法的主機(jī)惡意代碼
• [網(wǎng)絡(luò)安全自學(xué)篇] 十一.虛擬機(jī)VMware+Kali安裝入門(mén)及Sqlmap基本用法
• [網(wǎng)絡(luò)安全自學(xué)篇] 十二.Wireshark安裝入門(mén)及抓取網(wǎng)站用戶名密碼（一）
• [網(wǎng)絡(luò)安全自學(xué)篇] 十三.Wireshark抓包原理（ARP劫持、MAC泛洪）及數(shù)據(jù)流追蹤和圖像抓?。ǘ?/li>
• [網(wǎng)絡(luò)安全自學(xué)篇] 十四.Python攻防之基礎(chǔ)常識(shí)、正則表達(dá)式、Web編程和套接字通信（一）
• [網(wǎng)絡(luò)安全自學(xué)篇] 十五.Python攻防之多線程、C段掃描和數(shù)據(jù)庫(kù)編程（二）
• [網(wǎng)絡(luò)安全自學(xué)篇] 十六.Python攻防之弱口令、自定義字典生成及網(wǎng)站暴庫(kù)防護(hù)
• [網(wǎng)絡(luò)安全自學(xué)篇] 十七.Python攻防之構(gòu)建Web目錄掃描器及ip代理池（四）
• [網(wǎng)絡(luò)安全自學(xué)篇] 十八.XSS跨站腳本攻擊原理及代碼攻防演示（一）
• [網(wǎng)絡(luò)安全自學(xué)篇] 十九.Powershell基礎(chǔ)入門(mén)及常見(jiàn)用法（一）
• [網(wǎng)絡(luò)安全自學(xué)篇] 二十.Powershell基礎(chǔ)入門(mén)及常見(jiàn)用法（二）
• [網(wǎng)絡(luò)安全自學(xué)篇] 二十一.GeekPwn極客大賽之安全攻防技術(shù)總結(jié)及ShowTime
• [網(wǎng)絡(luò)安全自學(xué)篇] 二十二.Web滲透之網(wǎng)站信息、域名信息、端口信息、敏感信息及指紋信息收集
• [網(wǎng)絡(luò)安全自學(xué)篇] 二十三.基于機(jī)器學(xué)習(xí)的惡意請(qǐng)求識(shí)別及安全領(lǐng)域中的機(jī)器學(xué)習(xí)
• [網(wǎng)絡(luò)安全自學(xué)篇] 二十四.基于機(jī)器學(xué)習(xí)的惡意代碼識(shí)別及人工智能中的惡意代碼檢測(cè)
• [網(wǎng)絡(luò)安全自學(xué)篇] 二十五.Web安全學(xué)習(xí)路線及木馬、病毒和防御初探
• [網(wǎng)絡(luò)安全自學(xué)篇] 二十六.Shodan搜索引擎詳解及Python命令行調(diào)用
• [網(wǎng)絡(luò)安全自學(xué)篇] 二十七.Sqlmap基礎(chǔ)用法、CTF實(shí)戰(zhàn)及請(qǐng)求參數(shù)設(shè)置（一）
• [網(wǎng)絡(luò)安全自學(xué)篇] 二十八.文件上傳漏洞和Caidao入門(mén)及防御原理（一）
• [網(wǎng)絡(luò)安全自學(xué)篇] 二十九.文件上傳漏洞和IIS6.0解析漏洞及防御原理（二）
• [網(wǎng)絡(luò)安全自學(xué)篇] 三十.文件上傳漏洞、編輯器漏洞和IIS高版本漏洞及防御（三）
• [網(wǎng)絡(luò)安全自學(xué)篇] 三十一.文件上傳漏洞之Upload-labs靶場(chǎng)及CTF題目01-10（四）
• [網(wǎng)絡(luò)安全自學(xué)篇] 三十二.文件上傳漏洞之Upload-labs靶場(chǎng)及CTF題目11-20（五）
• [網(wǎng)絡(luò)安全自學(xué)篇] 三十三.文件上傳漏洞之繞狗一句話原理和繞過(guò)安全狗（六）
• [網(wǎng)絡(luò)安全自學(xué)篇] 三十四.Windows系統(tǒng)漏洞之5次Shift漏洞啟動(dòng)計(jì)算機(jī)
• [網(wǎng)絡(luò)安全自學(xué)篇] 三十五.惡意代碼攻擊溯源及惡意樣本分析
• [網(wǎng)絡(luò)安全自學(xué)篇] 三十六.WinRAR漏洞復(fù)現(xiàn)（CVE-2018-20250）及惡意軟件自啟動(dòng)劫持
• [網(wǎng)絡(luò)安全自學(xué)篇] 三十七.Web滲透提高班之hack the box在線靶場(chǎng)注冊(cè)及入門(mén)知識(shí)（一）
• [網(wǎng)絡(luò)安全自學(xué)篇] 三十八.hack the box滲透之BurpSuite和Hydra密碼爆破及Python加密Post請(qǐng)求（二）
• [網(wǎng)絡(luò)安全自學(xué)篇] 三十九.hack the box滲透之DirBuster掃描路徑及Sqlmap高級(jí)注入用法（三）
• [網(wǎng)絡(luò)安全自學(xué)篇] 四十.phpMyAdmin 4.8.1后臺(tái)文件包含漏洞復(fù)現(xiàn)及詳解（CVE-2018-12613）
• [網(wǎng)絡(luò)安全自學(xué)篇] 四十一.中間人攻擊和ARP欺騙原理詳解及漏洞還原
• [網(wǎng)絡(luò)安全自學(xué)篇] 四十二.DNS欺騙和釣魚(yú)網(wǎng)站原理詳解及漏洞還原
• [網(wǎng)絡(luò)安全自學(xué)篇] 四十三.木馬原理詳解、遠(yuǎn)程服務(wù)器IPC$漏洞及木馬植入實(shí)驗(yàn)
• [網(wǎng)絡(luò)安全自學(xué)篇] 四十四.Windows遠(yuǎn)程桌面服務(wù)漏洞（CVE-2019-0708）復(fù)現(xiàn)及詳解
• [網(wǎng)絡(luò)安全自學(xué)篇] 四十五.病毒詳解及批處理病毒制作（自啟動(dòng)、修改密碼、定時(shí)關(guān)機(jī)、藍(lán)屏、進(jìn)程關(guān)閉）
• [網(wǎng)絡(luò)安全自學(xué)篇] 四十六.微軟證書(shū)漏洞CVE-2020-0601 (上)Windows驗(yàn)證機(jī)制及可執(zhí)行文件簽名復(fù)現(xiàn)
• [網(wǎng)絡(luò)安全自學(xué)篇] 四十七.微軟證書(shū)漏洞CVE-2020-0601 (下)Windows證書(shū)簽名及HTTPS網(wǎng)站劫持
• [網(wǎng)絡(luò)安全自學(xué)篇] 四十八.Cracer第八期——(1)安全術(shù)語(yǔ)、Web滲透流程、Windows基礎(chǔ)、注冊(cè)表及常用DOS命令
• [網(wǎng)絡(luò)安全自學(xué)篇] 四十九.Procmon軟件基本用法及文件進(jìn)程、注冊(cè)表查看
• [網(wǎng)絡(luò)安全自學(xué)篇] 五十.虛擬機(jī)基礎(chǔ)之安裝XP系統(tǒng)、文件共享、網(wǎng)絡(luò)快照設(shè)置及Wireshark抓取BBS密碼
• [網(wǎng)絡(luò)安全自學(xué)篇] 五十一.惡意樣本分析及HGZ木馬控制目標(biāo)服務(wù)器
• [網(wǎng)絡(luò)安全自學(xué)篇] 五十二.Windows漏洞利用之棧溢出原理和棧保護(hù)GS機(jī)制
• [網(wǎng)絡(luò)安全自學(xué)篇] 五十三.Windows漏洞利用之Metasploit實(shí)現(xiàn)棧溢出攻擊及反彈shell
• [網(wǎng)絡(luò)安全自學(xué)篇] 五十四.Windows漏洞利用之基于SEH異常處理機(jī)制的棧溢出攻擊及shell提取
• [網(wǎng)絡(luò)安全自學(xué)篇] 五十五.Windows漏洞利用之構(gòu)建ROP鏈繞過(guò)DEP并獲取Shell
• [網(wǎng)絡(luò)安全自學(xué)篇] 五十六.i春秋老師分享小白滲透之路及Web滲透技術(shù)總結(jié)
• [網(wǎng)絡(luò)安全自學(xué)篇] 五十七.PE文件逆向之什么是數(shù)字簽名及Signtool簽名工具詳解（一）
• [網(wǎng)絡(luò)安全自學(xué)篇] 五十八.Windows漏洞利用之再看CVE-2019-0708及Metasploit反彈shell
• [網(wǎng)絡(luò)安全自學(xué)篇] 五十九.Windows漏洞利用之MS08-067遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)及shell深度提權(quán)
• [網(wǎng)絡(luò)安全自學(xué)篇] 六十.Cracer第八期——(2)五萬(wàn)字總結(jié)Linux基礎(chǔ)知識(shí)和常用滲透命令
• [網(wǎng)絡(luò)安全自學(xué)篇] 六十一.PE文件逆向之?dāng)?shù)字簽名詳細(xì)解析及Signcode、PEView、010Editor、Asn1View等工具用法（二）
• [網(wǎng)絡(luò)安全自學(xué)篇] 六十二.PE文件逆向之PE文件解析、PE編輯工具使用和PE結(jié)構(gòu)修改（三）
• [網(wǎng)絡(luò)安全自學(xué)篇] 六十三.hack the box滲透之OpenAdmin題目及蟻劍管理員提權(quán)（四）
• [網(wǎng)絡(luò)安全自學(xué)篇] 六十四.Windows漏洞利用之SMBv3服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-0796）復(fù)現(xiàn)及詳解
• [網(wǎng)絡(luò)安全自學(xué)篇] 六十五.Vulnhub靶機(jī)滲透之環(huán)境搭建及JIS-CTF入門(mén)和蟻劍提權(quán)示例（一）
• [網(wǎng)絡(luò)安全自學(xué)篇] 六十六.Vulnhub靶機(jī)滲透之DC-1提權(quán)和Drupal漏洞利用（二）
• [網(wǎng)絡(luò)安全自學(xué)篇] 六十七.WannaCry勒索病毒復(fù)現(xiàn)及分析（一）Python利用永恒之藍(lán)及Win7勒索加密
• [網(wǎng)絡(luò)安全自學(xué)篇] 六十八.WannaCry勒索病毒復(fù)現(xiàn)及分析（二）MS17-010利用及病毒解析
• [網(wǎng)絡(luò)安全自學(xué)篇] 六十九.宏病毒之入門(mén)基礎(chǔ)、防御措施、自發(fā)郵件及APT28樣本分析
• [網(wǎng)絡(luò)安全自學(xué)篇] 七十.WannaCry勒索病毒復(fù)現(xiàn)及分析（三）蠕蟲(chóng)傳播機(jī)制分析及IDA和OD逆向
• [網(wǎng)絡(luò)安全自學(xué)篇] 七十一.深信服分享之外部威脅防護(hù)和勒索病毒對(duì)抗
• [網(wǎng)絡(luò)安全自學(xué)篇] 七十二.逆向分析之OllyDbg動(dòng)態(tài)調(diào)試工具（一）基礎(chǔ)入門(mén)及TraceMe案例分析
• [網(wǎng)絡(luò)安全自學(xué)篇] 七十三.WannaCry勒索病毒復(fù)現(xiàn)及分析（四）蠕蟲(chóng)傳播機(jī)制全網(wǎng)源碼詳細(xì)解讀
• [網(wǎng)絡(luò)安全自學(xué)篇] 七十四.APT攻擊檢測(cè)溯源與常見(jiàn)APT組織的攻擊案例
• [網(wǎng)絡(luò)安全自學(xué)篇] 七十五.Vulnhub靶機(jī)滲透之bulldog信息收集和nc反彈shell（三）
• [網(wǎng)絡(luò)安全自學(xué)篇] 七十六.逆向分析之OllyDbg動(dòng)態(tài)調(diào)試工具（二）INT3斷點(diǎn)、反調(diào)試、硬件斷點(diǎn)與內(nèi)存斷點(diǎn)
• [網(wǎng)絡(luò)安全自學(xué)篇] 七十七.惡意代碼與APT攻擊中的武器（強(qiáng)推Seak老師）
• [網(wǎng)絡(luò)安全自學(xué)篇] 七十八.XSS跨站腳本攻擊案例分享及總結(jié)（二）
• [網(wǎng)絡(luò)安全自學(xué)篇] 七十九.Windows PE病毒原理、分類及感染方式詳解
• [網(wǎng)絡(luò)安全自學(xué)篇] 八十.WHUCTF之WEB類解題思路WP（代碼審計(jì)、文件包含、過(guò)濾繞過(guò)、SQL注入）
• [網(wǎng)絡(luò)安全自學(xué)篇] 八十一.WHUCTF之WEB類解題思路WP（文件上傳漏洞、冰蝎蟻劍、反序列化phar）
• [網(wǎng)絡(luò)安全自學(xué)篇] 八十二.WHUCTF之隱寫(xiě)和逆向類解題思路WP（文字解密、圖片解密、佛語(yǔ)解碼、冰蝎流量分析、逆向分析）
• [網(wǎng)絡(luò)安全自學(xué)篇] 八十三.WHUCTF之CSS注入、越權(quán)、csrf-token竊取及XSS總結(jié)
• [網(wǎng)絡(luò)安全自學(xué)篇] 八十四.《Windows hk編程技術(shù)詳解》之VS環(huán)境配置、基礎(chǔ)知識(shí)及DLL延遲加載詳解
• [網(wǎng)絡(luò)安全自學(xué)篇] 八十五.《Windows hk編程技術(shù)詳解》之注入技術(shù)詳解（全局鉤子、遠(yuǎn)線程鉤子、突破Session 0注入、APC注入）
• [網(wǎng)絡(luò)安全自學(xué)篇] 八十六.威脅情報(bào)分析之Python抓取FreeBuf網(wǎng)站APT文章（上）
• [網(wǎng)絡(luò)安全自學(xué)篇] 八十七.惡意代碼檢測(cè)技術(shù)詳解及總結(jié)
• [網(wǎng)絡(luò)安全自學(xué)篇] 八十八.基于機(jī)器學(xué)習(xí)的惡意代碼檢測(cè)技術(shù)詳解
• [網(wǎng)絡(luò)安全自學(xué)篇] 八十九.PE文件解析之通過(guò)Python獲取時(shí)間戳判斷軟件來(lái)源地區(qū)
• [網(wǎng)絡(luò)安全自學(xué)篇] 九十.遠(yuǎn)控木馬詳解及APT攻擊中的遠(yuǎn)控
• [網(wǎng)絡(luò)安全自學(xué)篇] 九十一.阿里云搭建LNMP環(huán)境及實(shí)現(xiàn)PHP自定義網(wǎng)站IP訪問(wèn) (1)
• [網(wǎng)絡(luò)安全自學(xué)篇] 九十二.《Windows hk編程技術(shù)詳解》之病毒啟動(dòng)技術(shù)創(chuàng)建進(jìn)程API、突破SESSION0隔離、內(nèi)存加載詳解（3）
• [網(wǎng)絡(luò)安全自學(xué)篇] 九十三.《Windows hk編程技術(shù)詳解》之木馬開(kāi)機(jī)自啟動(dòng)技術(shù)（注冊(cè)表、計(jì)劃任務(wù)、系統(tǒng)服務(wù)）
• [網(wǎng)絡(luò)安全自學(xué)篇] 九十四.《Windows hk編程技術(shù)詳解》之提權(quán)技術(shù)（令牌權(quán)限提升和Bypass UAC）
• [網(wǎng)絡(luò)安全自學(xué)篇] 九十五.利用XAMPP任意命令執(zhí)行漏洞提升權(quán)限（CVE-2020-11107）

到了這里，關(guān)于[網(wǎng)絡(luò)安全提高篇] 一一九.惡意軟件動(dòng)態(tài)分析經(jīng)典沙箱Cape的安裝和基礎(chǔ)用法詳解的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！