Cuckoo Sandbox 2.0正式版

B100D1E55

Cuckoo Sandbox 2.0正式版终于在前一段时间发布了，和2.0 RC2相比有着巨大的变化（特别是界面上，让人觉得前一个RC版不应该叫RC）。1）2.0正式版的Cuckoo已经进入了Python包管理系统，直接通过pip install就可以安装，避免了很多相关组件依赖问题。
2）和之前版本零散的文件组织不同，正式版增加了一个工作路径的概念。安装后会在本地生成配置文件夹，用于存放检测特征、配置文件、虚拟机agent等；而程序本体可以直接通过pip更新，支持导入/导出配置，很大程度上避免了每次版本更新后都要重新做一遍配置文件的问题
3）新版的Cuckoo也开始支持APK分析（这点实际上在RC版就支持了，应该是CuckooDroid的整合，但文档最近才完善），使用安卓开发包的模拟器运行可疑APK并进行鉴定。
4）不少命令都在新版中得到了整合，例如之前运行网页服务器、更新特征、运行Cuckoo本体被分为三个不同的脚本，现在已经整合到同一个命令下，提高了易用性
5）加入了多种路由模式，上传的时候可以让用户选择是使用inetsim的网络仿真环境，还是Tor，抑或VPN……很大程度上缓解了检测机暴露IP的问题

6）增加了实机模式，以及Icinga2等的支持，这些主要都是针对大规模服务器部署的优化。有意思的是Malwr似乎仍然是相当古老的版本……

从使用情况来看，2.0初期一些程序运行错误有了改善，但仍然有不少bug，推荐使用最新发行版。新的web界面虽然看上去很不错，但我个人觉得易用性反倒退步了，居然砍掉了分析页面注册表、文件访问的记录，让我黑人问号脸

另一个坏消息是前几天Cuckoo-modified项目的维护者正式宣布停止维护这个分支。Cuckoo-modified基于早期1.3版本修改而来（也是国内那个魔盾使用的分支），但增加了大量好功能，包括网页登陆系统、Malheur集成（所谓的魔盾指数就是这个东西……）、大量的Optiv的检测特征、以及更稳定的挂钩机制等等等等。估计现阶段Cuckoo 2.0在很多检测上仍旧和modified版有不小的差距，所以真是太遗憾了……
但鉴于恶意程序迭代的速度，估计不久modified长草之后也只能用官方cuckoo了，真是很sad。我都有种冲动想先把modified上的检测特征逐步移植到官方版本上

新版Cuckoo界面：



https://cuckoosandbox.org

罗曼语

Python呀……