cuckoo.conf
- 쿠쿠 시스템을 실행하기 위한 일반적인 환경설정 옵션들이 모여있다.
- 대부분의 설명들이 코멘트가 달려있으나 일부 환경 설정값은 주의를 기울여햐 한다.
machinery in [cuckoo] : 이 옵션은 쿠쿠의 분석시스템으로 사용한 가상머신의 종류를 설정한다.
ip and port in [resultserver]: 분석 결과와 port를 저장할 서버를 지정한다.
connection in [database]: 내부 DB 주소
auxiliary.conf
보조 모듈들은 분석 악성코드 분석 동작과 동시에 동작할 수 있는데 이를 위한 옵션이다.
보조 모듈로는 예를들어 tcp dump를 예오 들 수 있다.
이를 위한 설정값들이 정의 되어 있따.
<machinery>.conf
cuckcoo와 상호작용할 cuckoo.conf의 machinery in [cuckoo] 에서 지정한 가상소프트웨어 이름으로 된 설정 파일이다.
쿠쿠 노드에 대한 이름 및 OS 설정 정보 그리고 static IP 정보들이 추가되어 있다.
memory.conf
volatility tool은 메모리 덤프분석을 위한 플러그 인이다.
volatility tool은 느릴 수 있는데 이를 위한 기능에 대해 선택적으로 사용여부를 설정 할 수 있도록 해준다.
Volatility를 사용하기 위해 반드시 아래의 두 가지 과정을 거처야 한다.
- processing.conf 안의 Volatility에 사용할 수 있도록 Enable 시켜야 함.
- cuckoo.conf 안의 memory_dump를 Enable 시켜야 함.
processing.conf
이 옵션은 모든 프로세싱 모듈을 설정하고 사용/비사용을 설정할 수 있는 옵션을 제공한다.
이 모듈들은 modules/processiong/ 경로에 위치하고 있고 분석하는 동안 수집되는 raw data를 어떻게 소화할 것인가를 정의 한다.
reporting.conf
자동화된 리포트 생성에 대한 정보를 포함하고 있다.
다음과 같은 정보를 초함하고 있다
- jsondump 사용 여부 및 인코딩 방법
- html 사용여부
- mongo db 설정 등
'기타' 카테고리의 다른 글
Hyper-V 안에 KVM을 설치하고자 할때 (0) | 2017.06.10 |
---|---|
Python Distutils (0) | 2017.02.24 |
[#1] Python을 Python 답게 사용하는 방법 (0) | 2017.02.01 |
#2 Cuckoo의 Configurations (0) | 2017.01.19 |
[#1] Cuckoo란 무엇인가? (0) | 2017.01.19 |