CuckooSanbox自定义规则 - on_call函数参数详解
仇睿
之前我们了解到在on_call函数中有三个参数,分别是self、call、process
今天在查看Cuckoo源码的时候发现了关于on_call函数中的call参数的一些东西
详情可以查看Cuckoo项目源码的:cuckoo-modified-master\modules\processing\behavior.py文件的281行和317行部分
CALL参数的详细信息
call["timestamp"] // int 调用API时的时间戳
call["thread_id"] // str 调用API的线程ID
call["caller"] // int 哪里调用的当前API
call["parentcaller"] // int 上一层函数的地址
call["category"] // str Win32 函数类型
call["api"] // str API 名称
call["repeated"] // int API调用次数
call["status"] // bool 函数释放调用成功
call["return"] // API返回值
call["arguments"] // API调用时,传入的参数名称和值,不同的API参数名称和值都不一样PROCESS参数的详细信息
{
process_path: u'C:\\Users\\Administrator\\AppData\\Local\\Temp\\CreateFile.exe'),
calls:[],
track:True,
pid:4184,
process_name:u'CreateFile.exe'),
command_line: u'"C:\\Users\\Administrator\\AppData\\Local\\Temp\\CreateFile.exe" '),
modules:
[
{u'basename': u'CreateFile.exe', u'imgsize': 307200, u'baseaddr': u'0x11e0000', u'filepath': u'C:\\Users\\Administrator\\AppData\\Local\\Temp\\CreateFile.exe'},
{u'basename': u'ntdll.dll', u'imgsize': 1572864, u'baseaddr': u'0x778d0000', u'filepath': u'C:\\Windows\\SysWOW64\\ntdll.dll'},
{u'basename': u'kernel32.dll', u'imgsize': 1114112, u'baseaddr': u'0x77100000', u'filepath': u'C:\\Windows\\syswow64\\kernel32.dll'},
{u'basename': u'KERNELBASE.dll', u'imgsize': 286720, u'baseaddr': u'0x75ae0000', u'filepath': u'C:\\Windows\\syswow64\\KERNELBASE.dll'},
{u'basename': u'monitor-x86.dll', u'imgsize': 2117632, u'baseaddr': u'0x63dc0000', u'filepath': u'C:\\tmph2bhxn\\bin\\monitor-x86.dll'},
{u'basename': u'msvcrt.dll', u'imgsize': 704512, u'baseaddr': u'0x772c0000', u'filepath': u'C:\\Windows\\syswow64\\msvcrt.dll'}
],
time:0,
tid:4188,
first_seen:datetime.datetime(2018, 6, 7, 14, 25, 29, 62500)),
ppid:4152,
type:‘'process'
}
类似资料: