布谷鸟沙盒不生成memory.dmp

Question

我对Cuckoo Sandbox和它应该生成的内存转储有一个问题，以便能够对其进行易失性分析。

我的问题是：

Cuckoo的日志文件告诉我，内存转储已成功生成，但它无法访问它们，因为找不到它们。手动在目录中查找它们会确认它们不存在。布谷鸟告诉我在已启用的cuckoo.conf中启用memory_dump。

我的布谷鸟版本和操作系统是：

布谷鸟: 2.0.6

主机: Ubuntu 18.04.1 LTS

来宾: Win7旗舰版，服务包1，32位

这些是我的配置文件：

cuckoo.conf

memory_dump = yes

memory.conf

guest_profile = Win7SP1x86
delete_memdump = no

processing.conf

[memory]
enabled = yes

这是cuckoo.log的输出：

INFO: Successfully generated memory dump for virtual machine with label Win7 to path /home/test/.cuckoo/storage/analyses/1/memory.dmp
[...]
ERROR: VM memory dump not found: to create VM memory dumps you have to enable memory_dump in cuckoo.conf!

任何形式的帮助都是值得感谢的。如果你需要我的更多信息，请让我知道

编辑:仅生成整机的内存转储。如果恶意软件注入到新进程中，则会生成内存转储，如report.json中所示

INFO: injected into process with pid 3844 and name 'iexplorer.exe'
INFO: memory dump of process with pid 3844 completed

我还可以在目录中找到3844-1.dmp文件

Answer 1

不久前我也遇到过类似的问题，内存转储的创建有点不一致。然而，这是一个旧版本的布谷鸟沙箱。在processing.conf中，检查是否设置了

    [procmemory] 
    enabled = yes

我确实记得我有一些问题，如果我通过web GUI提交一个样本，有时会得到完整的内存转储，但如果我通过命令行提交样本，我不会得到内存转储，反之亦然。有时，我只会在第一个样本失败后获得内存转储。我发现从32位putty.exe开始是一个很好的开始。一旦内存转储开始工作，我就再也没有遇到过问题。所以我从来没有记录下我所做的事情。我确实记得玩过内存设置，所以它可能是值得玩的processing.conf设置，打开和关闭它们，看看什么是有效的。

    [memory]
    enabled = yes

    [procmemory] 
    enabled = yes

和cuckoo.conf

    memory_dump = yes

我知道这可能听起来很奇怪，但我有时会在通过终端或webgui模式提交样本时看到不同的功能。我不再有我的设置，所以我没有什么可以比较的。

编辑还请确保已安装正确的依赖项https://github.com/volatilityfoundation/volatility/wiki/Linux