Alat untuk mendeteksi dan menabrak Cuckoo Sandbox. Diuji dalam versi Cuckoo Sandbox Resmi dan Accuvant's Cuckoo.
Fitur Deteksi
Metode overkill bisa bermanfaat. Misalnya dengan menggunakan metode overkill Anda memiliki dua fitur dalam satu: detection / crash dan "a kind of Sleep" (Cuckoomon bypass lama Sleeps calls).
Deteksi Cuckoo
Kirim Release / anticuckoo.exe untuk analisis di Cuckoo Sandbox. Periksa screenshot (output konsol). Anda juga bisa mengecek Accesed Files di Sumary:
- Cuckoo hooks detection (semua jenis kait cuckoo).
- Data Suspicius dalam memori sendiri (tanpa pemindaian API, halaman per halaman)
- Crash (Jalankan dengan argumen) (dari kotak pasir, args ini tidak merusak program):
- -c1: Mengubah instruksi RET N dari API yang terhubung dengan nilai lebih tinggi. Panggilan berikutnya ke API mendorong args lebih ke stack. Jika API yang terhubung dipanggil dari Cuckoo's HookHandler, crash program karena hanya mendorong argumen API nyata, maka instruksi RET N yang dimodifikasi akan merusak tumpukan HookHandler.
Metode overkill bisa bermanfaat. Misalnya dengan menggunakan metode overkill Anda memiliki dua fitur dalam satu: detection / crash dan "a kind of Sleep" (Cuckoomon bypass lama Sleeps calls).
Deteksi Cuckoo
Kirim Release / anticuckoo.exe untuk analisis di Cuckoo Sandbox. Periksa screenshot (output konsol). Anda juga bisa mengecek Accesed Files di Sumary:
Accesed Files di Sumary (Django web):
Cuckoo Crash
Tentukan di opsi submit argumen benturan, ex -c1 (via Django web):
Dan cek Screenshots / sambungkan via koneksi RDP / whatson untuk memverifikasi adanya tabrakan.Ex -c1 via RDP:
Posting Komentar