この記事の続きを楽しみにしている人がいるとしたら（居ないとは思うけど）申し訳ないことに、環境が壊れてしまった。

また、子供のPCを修理に出す間、PCを子供に貸してしまっているので続きが書けない。

しばらくお休みすることをお詫びします。

気持ちを入れ替えて、WSLに頼ろうと思います。

ここでは、Kali Linuxを使いたいと思います。

基本的なやり方は既に他の方々が公開されている物がありますが、

今回は、あえて公式サイトの手順に従ってみようと思います。

先ずは、Pythonライブラルのインストールまで。

1．Microsoft StoreでKali Linuxを検索し、インストールします。

2．管理者として PowerShell を開き以下のコマンドを実行します。

3．PCを再起動します。

4．スタートメニューからKaliを起動します。

5．ユーザ名を適当に指定します。

6．パスワードを適当に指定します。

7．以下のコマンドを順番に実行します。

sudo apt-get update

sudo apt-get upgrade

sudo apt-get install python python-pip python-dev libffi-dev libssl-dev

sudo apt-get install python-virtualenv python-setuptools

sudo apt-get install libjpeg-dev zlib1g-dev swig

sudo apt-get install mongodb（失敗）

※Kali-LinuxのディストリビューションではMongoDBがインストールされないようなので

　PostgreSQLを使うことにする。

sudo apt-get install postgresql libpq-dev

sudo apt-get install libfuzzy-dev

8．PyDeepをダウンロードして、C:\pydeep-masterに展開しておきます。

https://github.com/kbandla/pydeep

9．以下のコマンドを順番に実行します。

cd /mnt/c/pydeep-master

python setup.py build

python setup.py test

sudo python setup.py install

cd

次に、VirtualBoxをインストールします。

1．以下のコマンドを順番に実行する。

echo deb http://download.virtualbox.org/virtualbox/debian xenial contrib | sudo tee -a /etc/apt/sources.list.d/virtualbox.list

wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | sudo apt-key add -

sudo apt-get update

sudo apt-get install virtualbox-5.2

あれ？うまくいかない。

WSLでCuckooをインストールする場合、VirtualBoxはWindows版を使うようですね。

普通にWindows版のVirtualBoxをインストールします。

次に「tcpdump」をインストールします。

1．以下のコマンドを順番に実行します。

sudo apt-get install tcpdump

次に「Volatility」をインストールします。

1．VolatilityをダウンロードしてC:\volatility-masterに展開しておきます。

https://github.com/volatilityfoundation/volatility

2．以下のコマンドを順番に実行します。

cd /mnt/c/volatility-master

sudo python setup.py install

cd

次に、「M2Crypto」をインストールします。

1．以下のコマンドを順番に実行します。

sudo apt-get install swig

sudo pip install m2crypto==0.24.0（エラー）

何だろう、エラーが出まくってる。

最新のバージョンでトライ

sudo pip install -U m2crypto

次に、「guacd」をインストールします。
と思いましたが、うまくいかないので飛ばします。
Web interfaceでRDPするのに使う物のようです。

次はいよいよCuckooのインストールです。
cuckoo sandboxをインストールしていきます。

1．以下のコマンドを順番に実行します。
sudo pip install -U pip setuptools
sudo pip install -U cuckoo
sudo pip install distorm3
cuckoo -d

何となくうまくいきました。

さて、色々弄っていたら動きました。

何をやったか書いていきます。

先ず、ホスト側から

WinDumpはTCPUDumpの代わりにはならないようなので、設定を変更。

ついでに変え忘れていた設定を変更。

1． 「C:\Users\<ユーザ名>\.cuckoo\config\auxiliary.conf」の

[sniffer]

# Enable or disable the use of an external sniffer (tcpdump) [yes/no].

enabled = yes

の行を

[sniffer]

# Enable or disable the use of an external sniffer (tcpdump) [yes/no].

enabled = no

に変更する。

2. 「C:\Users\<ユーザ名>\.cuckoo\config\virtualbox.conf」の

interface = vboxnet0

の行を

interface = VirtualBox Host-Only Ethernet Adapter

に変更する。

次にゲストOSの方で、

1．コマンドプロンプトで以下のコマンドを実行する。

pip install Pillow

2．Host-Only AdapterのIPアドレスを

192．168．56．101

に固定する。

3．スナップショットを作り直す。

  スナップショット名は「SnapShot1」

いよいよ実行してみる。

★実行方法★

1．ホスト側のファイアを-ルを無効にする。

2．コマンドプロンプトを管理者権限で起動する。

3．2．のコマンドプロンプトで以下のコマンドを実行する。

cuckoo

4．もう一つコマンドプロンプトを起動する。

5．4．のコマンドプロンプトで以下のコマンドを実行する。

cuckoo submit ＜検体のフルパス＞

何となく動いた気がする。

正直、WebUIが動かなくて心が折れました。

WSLで構築し直してみようと思います。

最低限の設定をしていきます。

1． 「C:\Users\<ユーザ名>\.cuckoo\config\virtualbox.conf」の

snapshot = 

の行を

snapshot = SnapShot1

に変更する。

2. 「C:\Users\<ユーザ名>\.cuckoo\config\reporting.conf」の

[mongodb]

enabled = no

の行を

[mongodb]

enabled = on

に変更する。

3. 「C:\Users\<ユーザ名>\.cuckoo\config\auxiliary.conf」の

tcpdump = /usr/sbin/tcpdump

の行を

tcpdump = C:\WinDump\WinDump.exe

に変更する。

続いて、仮想環境を作っていきます。

仮想環境（検体の実行環境）は、自分の検体を実行したい環境を用意します。

Cuckoo SandBox 6.0.2では、Windows  XP、Windows 7（32bit、64bit）をサポートしているようです。

目的のOSをVirtualBoxに構築しますが、名前を「cuckoo1」としてください。

また、必要に応じてOfficeをインストールしてください。

Windows屋Officeのライセンスは準備する必要があります。

必要なパッチや必要なソフトがあれば、この段階でインストールします。

インストールが終わったら、python 2.7をインストールします。

passの追加は行ってください。

仮想環境のインストールが一通り終わったところで、Windows Firewallの無効化とWindows Updateの無効化、UACの無効化を行っておきます。

また、ネットワークアダプターの2番目に「Host only adapter」を追加します。

「C:\Users\＜ユーザ名＞\.cuckoo\agent」内の「agent.py」を仮想環境のc:\にコピーし、「agent.pyw」に拡張子を変更し、実行します。

最後にスナップショットを「SnapShot1」と言う名前でとっておきます。

そこまで終わったら、コマンドプロンプトで以下のコマンドを実行します。

cd "C:/Program Files/Oracle/VirtualBox/"

VBoxManage controlvm "cuckoo1" poweroff

VBoxManage snapshot "cuckoo1" restorecurrent

これで準備完了。

うむ、うごかぬ！！

何が足り無いんだろう・・・

多分・・・

Windows 10 に cuckoo sandboxをインストールしてみます。

正解が判らないので行き当たりばったりで作業していきます。

作業メモだと思ってください。

一般に公開されている情報では、WSL（Windows Subsystem for Linux）を使う例外多いのですが、ここでは、WSLを使わずにWindows 10上に直接サンドボックス環境を構築していきます。

Cuckoo Sandboxに関する情報は以下のリンクから。。。

https://cuckoosandbox.org/

今回は「Cuckoo Sandbox 2.0.6」で構築します。

まずは、ホスト環境。

Windows 10 Professional x64 1903

ダウンロードしたソフト類。

1. VirtualBox 6.0.6
2. python 2.7.16.amd64
   
3. mongodb win32-x86_64-2008plus-ssl-4.0.9-signed
   
4. Microsoft Visual C++ Compiler for Python 2.7
   　http://aka.ms/vcpython27
5. yara python 3.9.0.win-amd64-py2.7
   　https://www.dropbox.com/sh/umip8ndplytwzj1/AADdLRsrpJL1CM1vPVAxc5JZa?dl=0&lst=
6. WinDumpとWinPCAP
   　https://www.winpcap.org/windump/

構築してみます。

1． ホストOSである Windows 10 Pro x64をセットアップし、パッチを当てておきます。

2． Python 2.7をインストールします。64bit版でやってみます。

　　Python 3.7は推奨されていないので、要注意です。共存は可能です。

　　Pythonのインストールフォルダは「C:\Python27」にしました。

　　インストール時のオプションにあるのですが、パスを通すのを忘れないでください。

3． mongodbをインストールします。設定はデフォルトで大丈夫です。

4． Microsoft Visual C++ Compiler for Python 2.7をインストールします。

5． yara python 3.9.0をインストールします。

6． VirtualBoxをインストールします。

7． WinPCAPをインストールし、WinDumpを適当なフォルダに移動します。

　　例：「C:\WinDump」

8． コマンドプロンプトで以下のコマンドを実行します。

pip2 install -U pip setuptools

9． コマンドプロンプトで以下のコマンドを実行します。

pip2 install -U cuckoo

10． コマンドプロンプトで以下のコマンドを実行します。

cuckoo -d

11． 「C:\Users\<ユーザ名>\.cuckoo\config\virtualbox.conf」の

path = /usr/bin/VBoxManage

の行を

path = C:/Program Files/Oracle/VirtualBox/VboxManage.exe

に書き換える。

12． 「C:\Python27\Scripts\cuckoo-script.py」を「C:\Python27\Scripts\」にコピーし、ファイル名を「cuckoo」にする。

13． コマンドプロンプトで以下のコマンドを実行します。

cuckoo community

次回は最低限の設定と、仮想環境の構築をします。