5. Phương pháp nghiên cứu
4.5.2 Các tùy chọn cấu hình cho quá trình phân tích
Trước tiên, chúng ta cần phải cấu hình các file cấu hình của Cuckoo, trong đó bao gồm các tập tin chủ yếu sau đây:
• cuckoo.conf: file cấu hình này có chứa thông tin về hành vitổng quát và những option phân tích trong Cuckoo Sandbox.
• <machinemanager>.conf: file này chứa các thông tin vềcấu hình máy ảo. (Phụ thuộc vào tên của ảo hóa mà chúng ta sử dụng.)
• processing.conf: tập tin này được sử dụng để bật và cấu hình quá trình xử lý của các module.
• reporting.conf: Tập tin này có chứa thông tin về phương pháp báo cáo. Các file .conf nói trên được mô tả chi tiết trong các phần sau.
1. Cuckoo.conf
Tập tin này có chứa thông tin cấu hình cơ bản và tổng quát của Cuckoo. Ví dụ, ta có thể yêu cầu Cuckoo tự kiểm tra phiên bản mới nhất khi nó bắt đầu thực thi. Nếu ta sử dụng tính năng này, Cuckoo sẽ tự động download phiên bản mới nhất, và bạn có thể lưu trữ các phiên bản cũ hoặc xóa nó. Nó được định nghĩa trong trường version_check vào file cuckoo.conf. Ta có thể mô tả phương pháp ảo hóa của bạn trong file cuckoo.conf. Ví dụ, nếu ta đang sử dụng VirtualBox, ta có thể viết trong machine_manager = virtualbox, hoặc nếu bạn đang sử dụng VMware, bạn có thể thay đổi dòng này là vmware.
Ta cũng có thể điềnđịa chỉ IP của Host OS và Port sẽ được sử dụng bởi Cuckoo Sandbox. Theo mặc định, địa chỉ IP này sẽ được thiết lập là 192.168.50.1 (bởi vì chúng ta đang sử dụng host-only phương pháp kết nối mạng), và cổng mặc định là 2042. Tiếp theo đó chúng ta phải xác định Network Interface. Chúng tôi đã xác định Interface cho Cuckoo. Ở đây chúng ta chọn là vboxnet0.
2. <machinemanager>.conf
Machine Manager là các moduleđược định nghĩa để Cuckoo tương tác với các công cụ ảo hóa của bạn. Trong file cuckoo.conf, ta sẽ phải chọn ra phần mềm ảo hóa mà ta sử dụng. Nếu ta sử dụng VirtualBox, các <machinemanager> conf sẽ lấy các cấu hình trong file virtualbox.conf. Nếu bạn sử dụng VMware, <machinemanager> conf sẽ lấy các cấu hình trong file vmware.conf.
Trong phần, do ta sử dụng VirtualBox, vì vậy ta chỉ cần tập trungvào cấu hính trong file virtualbox.conf. Ta có thể chỉnh sửa tập tin này dựa vào yêu cầu nhất định. Ví dụ, nếu ta muốn chạy VirtualBox ở chế độ GUI, thì phải chỉnh lạimode và thiết lập nó như là gui. Còn nếu quen với việc sử dụng VirtualBox bằng dòng lệnh, sau đó nên thiết lập mode là headless trong file virtualbox.conf.
Trong khi cài đặt Guest OS, ta cần phải chú ý đến việc đặt tên cho các Guest. Vì nó sẽ được sử dụng trong file cấu hình. Trong section [cuckoo1], tasẽ chỉ ra tên Guest OS. Nếu ta cho Guest OS tên là cuckoo1, ta phải chỉnh sửa lạilabel = cuckoo1
Ở đây ta đang sử dụng Windows XP là Guest OS, ta phải định nghĩa cho phần platform là windows:
platform = windows
Tiếp đó, ta phải điền vào địa chỉ IP của Guest OS. Vì chúng ta đang sử dụng mạng host-only, theo mặc định thì hệ điều hành đầu tiên trong hệ thống khách sẽ được cấp phát địa chỉ IP là 192.168.50.101.
3. Processing.conf
Cấu hình này file sẽ cho phép ta bật, hoặc vô hiệu hóa tất cả các module xử lý. Về cơ bản, thì chúng ta không cần phải thực hiện bất kỳ thay đổi nào trên cấu hình mặc định trongtập tin này. Nhưng ta có thể thêm API VirusTotal key của riêng chúng ta. Nếu ta không có một tài khoản VirusTotal, chỉ cần tạo một tài khoản trong website VirusTotal tại https://www.virustotal.com/en/, và điền key bằng giá trị trong dòng này: # Add your VirusTotal API key here. The default API key, kindly# provided by the VirusTotal team, should enable you with a
# sufficient throughput and while being shared with all our users, # it should not affect your use.
key =
a0283a2c3d55728300d064874239b5346fb991317e8449fe43c902879d758088
3. Reporting.conf
File conf/reporting.conf có chứa thông tin về việc tự động sinh báo cáo. Tập tin này có chứa thông tin về các phương pháp hoặc các loại các báo cáo mà bạn muốn sử dụng sau khi hoàn thành quá trình phân tích. Bạn có thể disable hoặc enable các phương pháp báo cáo này.
Sau khi hoàn thành việc cấu hình cho môi trường Cuckoo Sandbox, ta có thể bắt đầu kiểm tra thực hiện quá trình phân tích phần mềm độc hại.
$ vboxmanage snapshot "cuckoo-hdx" take "cuckoo-hdxSnap01" --pause
Các lệnh sau đây được sử dụng để khôi phục lại snapshot: $ vboxmanagecontrolvm "cuckoo-hdx " poweroff
$ vboxmanage snapshot "cuckoo-hdx" restorecurrent $ vboxheadless --startvm "cuckoo-hdx"