概述
之前我们了解到在on_call函数中有三个参数,分别是self、call、process
今天在查看Cuckoo源码的时候发现了关于on_call函数中的call参数的一些东西
详情可以查看Cuckoo项目源码的:cuckoo-modified-mastermodulesprocessingbehavior.py文件的281行和317行部分
CALL参数的详细信息
call["timestamp"] // int 调用API时的时间戳
call["thread_id"] // str 调用API的线程ID
call["caller"] // int 哪里调用的当前API
call["parentcaller"] // int 上一层函数的地址
call["category"] // str Win32 函数类型
call["api"] // str API 名称
call["repeated"] // int API调用次数
call["status"] // bool 函数释放调用成功
call["return"] // API返回值
call["arguments"] // API调用时,传入的参数名称和值,不同的API参数名称和值都不一样PROCESS参数的详细信息
{
process_path: u'C:\Users\Administrator\AppData\Local\Temp\CreateFile.exe'),
calls:[],
track:True,
pid:4184,
process_name:u'CreateFile.exe'),
command_line: u'"C:\Users\Administrator\AppData\Local\Temp\CreateFile.exe" '),
modules:
[
{u'basename': u'CreateFile.exe', u'imgsize': 307200, u'baseaddr': u'0x11e0000', u'filepath': u'C:\Users\Administrator\AppData\Local\Temp\CreateFile.exe'},
{u'basename': u'ntdll.dll', u'imgsize': 1572864, u'baseaddr': u'0x778d0000', u'filepath': u'C:\Windows\SysWOW64\ntdll.dll'},
{u'basename': u'kernel32.dll', u'imgsize': 1114112, u'baseaddr': u'0x77100000', u'filepath': u'C:\Windows\syswow64\kernel32.dll'},
{u'basename': u'KERNELBASE.dll', u'imgsize': 286720, u'baseaddr': u'0x75ae0000', u'filepath': u'C:\Windows\syswow64\KERNELBASE.dll'},
{u'basename': u'monitor-x86.dll', u'imgsize': 2117632, u'baseaddr': u'0x63dc0000', u'filepath': u'C:\tmph2bhxn\bin\monitor-x86.dll'},
{u'basename': u'msvcrt.dll', u'imgsize': 704512, u'baseaddr': u'0x772c0000', u'filepath': u'C:\Windows\syswow64\msvcrt.dll'}
],
time:0,
tid:4188,
first_seen:datetime.datetime(2018, 6, 7, 14, 25, 29, 62500)),
ppid:4152,
type:‘'process'
}最后
以上就是粗犷电话为你收集整理的CuckooSanbox自定义规则 - on_call函数参数详解的全部内容,希望文章能够帮你解决CuckooSanbox自定义规则 - on_call函数参数详解所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复