У меня проблема с Cuckoo Sandbox и дампом памяти, который он должен сгенерировать, чтобы иметь возможность анализировать его с помощью Volatility.
Моя проблема:Файлы журнала Cuckoo сообщают мне, что дамп памяти был успешно создан, но он не может получить к ним доступ, потому что они не могут быть найдены. Поиск их вручную в каталоге подтверждает, что они не существуют. Cuckoo говорит мне, чтобы включить memory_dump в cuckoo.conf, который включен.
Моя версия Cuckoo и операционная система:Cuckoo: 2.0.6 Хост: Ubuntu 18.04.1 LTS Гость: Win7 Ultimate, пакет обновления 1, 32-разрядная версия
Это мои конфигурационные файлы:cuckoo.conf
memory_dump = yes
memory.conf
guest_profile = Win7SP1x86
delete_memdump = no
processing.conf
[memory]
enabled = yes
INFO: Successfully generated memory dump for virtual machine with label Win7 to path /home/test/.cuckoo/storage/analyses/1/memory.dmp
[...]
ERROR: VM memory dump not found: to create VM memory dumps you have to enable memory_dump in cuckoo.conf!
Любая помощь приветствуется. Если вам нужна дополнительная информация от меня, пожалуйста, дайте мне знать
Редактировать: только дамп памяти полной машины не генерируется. Если вредоносное ПО внедряется в новый процесс, создается дамп памяти, как показано в report.json
INFO: injected into process with pid 3844 and name 'iexplorer.exe'
INFO: memory dump of process with pid 3844 completed
и я также могу найти файл 3844-1.dmp в каталоге