Песочница с кукушкой не генерирует memory.dmp

Question

У меня проблема с Cuckoo Sandbox и дампом памяти, который он должен сгенерировать, чтобы иметь возможность анализировать его с помощью Volatility.

Моя проблема:

Файлы журнала Cuckoo, сообщающие мне, что дамп памяти был успешногенерируется, но он не может получить к ним доступ, потому что они не могут быть найдены.Поиск их вручную в каталоге подтверждает, что они не существуют.Cuckoo говорит мне включить memory_dump в cuckoo.conf, который включен.

Моя версия Cuckoo и операционная система:

Cuckoo: 2.0.6

Хост: Ubuntu 18.04.1 LTS

Гость: Win7 Ultimate, пакет обновления 1, 32-разрядный

Это мои файлы конфигурации:

cuckoo.conf

memory_dump = yes

memory.conf

guest_profile = Win7SP1x86
delete_memdump = no

processing.conf

[memory]
enabled = yes

Это вывод файла cuckoo.log:

INFO: Successfully generated memory dump for virtual machine with label Win7 to path /home/test/.cuckoo/storage/analyses/1/memory.dmp
[...]
ERROR: VM memory dump not found: to create VM memory dumps you have to enable memory_dump in cuckoo.conf!

Любая помощь приветствуется.Если вам нужна дополнительная информация от меня, пожалуйста, дайте мне знать

Редактировать: не создается только дамп памяти полной машины.Если вредоносное ПО внедряется в новый процесс, создается дамп памяти, как показано в report.json

INFO: injected into process with pid 3844 and name 'iexplorer.exe'
INFO: memory dump of process with pid 3844 completed

, и я также могу найти файл 3844-1.dmp в каталоге

Answer 1

Некоторое время назад у меня была похожая проблема, когда создание дампа памяти было немного противоречивым.Однако это было с более старой версией песочницы с кукушкой.В файле processing.conf проверьте, не установлено ли у вас значение

    [procmemory] 
    enabled = yes

. Я помню, что у меня были проблемы, при которых я иногда получал полный дамп памяти, если отправлял образец через веб-интерфейс, но не получалдамп памяти, если я отправил образец через командную строку или наоборот.Иногда я получал дампы памяти только после неудачного первого примера.Я обнаружил, что для начала лучше всего использовать что-то вроде 32-битного putty.exe.Как только дампы памяти начали работать, хотя у меня никогда не было проблемы после этого.Поэтому я никогда не документировал, что я сделал.Я помню, как играл с настройками памяти, поэтому, возможно, стоит поиграть с настройками processing.conf, включите и выключите их, чтобы посмотреть, что работает.

    [memory]
    enabled = yes

    [procmemory] 
    enabled = yes

и cuckoo.conf

    memory_dump = yes

Я знаю, это может показаться странным, но я иногда видел разные функции при отправке сэмплов через режим терминала или веб-интерфейса.У меня больше нет настроек, поэтому мне не с чем сравнивать.

[Редактировать] Также убедитесь, что у вас установлены правильные зависимости https://github.com/volatilityfoundation/volatility/wiki/Linux