cuckoo 설정파일
Configuration
설정
Cuckoo relies on six main configuration files:
쿠쿠는 여섯 가지의 주요 설정 파일에 의존한다.
- cuckoo.conf: for configuring general behavior and analysis options.
- auxiliary.conf: for enabling and configuring auxiliary modules.
- <machinery>.conf: for defining the options for your virtualization software(the file has the same name of the machinery module you choose in cuckoo.conf).
- memory.conf: Volatility configuration.
- processing.conf: for enabling and configuring processing modules.
- reporting.conf: for enabling or disabling report formats.
|
설정 파일 |
설명 |
|
cuckoo.conf |
일반적인 행동과 분석 옵션 설정을 위한 파일 |
|
auxiliary.conf |
보조 모듈을 설정하고 활성화하는 파일 |
|
<머신>.conf |
가상화 소프트웨어에 대한 옵션을 정의하는 파일 (파일은 당신이 cuckoo.conf에서 선택한 가상 머신 모듈과 같은 이름을 갖는다.) |
|
memory.conf |
Volatility에 대한 설정 파일 |
|
processing.conf |
처리 모듈을 설정하고 활성화하는 파일 |
|
reporting.conf |
보고서 포맷을 활성화하고 비활성화하는 파일 |
To get Cuckoo working you have to edit auxiliary.conf:, cuckoo.conf and <machinery>.conf at least.
Cuckoo 동작을 위해 적어도 auxiliary.conf:, cuckoo.conf , <machinery>.conf 파일을 수정해야 한다.
cuckoo.conf
The first file to edit is conf/cuckoo.conf, it contains the generic configuration options that you might want to verify before launching Cuckoo.
처음 수정할 파일은 conf/cuckoo.conf이다. 이 파일은 쿠쿠를 실행하기 전에 확인해야 하는 일반적인 설정 옵션을 포함한다.
The file is largely commented and self-explaining, but some of the options you might want to pay more attention to are:
이 파일은 크게 진술한고 자신을 설명한다. 그러나 몇 옵션은 당신이 더 주의를 기울어야 한다.
- machinery in [cuckoo]: this defines which Machinery module you want Cuckoo to use to interact with your analysis machines. The value must be the name of the module without extension.
- 이는 쿠쿠와 상호작용할 분석 머신 모듈을 정한다. 이 값은 반드시 모듈의 이름(확장자 제외)이어야한다.
- ip and port in [resultserver]: defines the local IP address and port that Cuckoo is going to use to bind the result server on. Make sure this matches the network configuration of your analysis machines, or they won’t be able to return the collected results.
- 쿠쿠가 결과 서버로 바인딩할 로컬 IP 주소와 포트를 정의한다. 이 주소가 분석 머신의 네트워크 설정과 매칭되는지 확인하라. 그렇지 않으면 수집된 결과를 돌려 받을 수 없을 것이다.
- connection in [database]: defines how to connect to the internal database. You can use any DBMS supported by SQLAlchemy using a valid Database Urls syntax.// 비워둔채로 둔다면 기본적으로 db/cuckoo.db의 SQLite를 사용한다.
- 내부 데이터베이스에 연결하는 방법을 정의한다. 유효한 데이터베이스 URL 구문을 사용하여 SQLAlchemy에서 지원하는 모든 DBMS를 사용할 수 있다.
Warning 주의
Check your interface for resultserver IP! Some virtualization software (for example Virtualbox) don’t bring up the virtual networking interfaces until a virtual machine is started. Cuckoo needs to have the interface where you bind the resultserver up before the start, so please check your network setup. If you are not sure about how to get the interface up, a good trick is to manually start and stop an analysis virtual machine, this will bring virtual networking up. If you are using NAT/PAT in your network, you can set up the resultserver IP to 0.0.0.0 to listen on all interfaces, then use the specific options resultserver_ip and resultserver_port in <machinery>.conf to specify the address and port as every machine sees them. Note that if you set resultserver IP to 0.0.0.0 in cuckoo.conf you have to set resultserver_ip for all your virtual machines.
당신의 결과 서버 IP를 위해 인터페이스를 확인하라. 몇 가상화 소프트웨어는(예를들어 버츄얼박스)는 가상 네트워킹 인터페이스를 버츄얼머신을 실행할 때까지 가져오지 않는다. 쿠쿠는 시작하기 전 결과서버에 바인딩하기 위해 인터페이스가 필요하다. 그렇기 때문에 네트워크 설정을 확인해야 한다. 인터페이스를 확인하지 않는다면 좋은 편법은 분석 가상 머신을 수동으로 시작하고 멈추는 것이다. 이는 가상네트워크를 가져올 수 있다. 네트워크에 NAT/PAT를 사용중이라면 모든 인터페이스에서 리스닝하도록 결과서버 IP를 0.0.0.0으로 설정할 수 있다. 그러면 결과서버IP에서 특정 옵션인 <머신>.conf에 있는 resultserver_ip와 resultserver_port를 사용한다. 모든 머신들이 이를 볼 수 있도록 주소와 포트를 특정하기 위함이다. cuckoo.conf에서 결과서버 IP에 0.0.0.0을 세팅한다면 모든 가상화 머신을 위해 resultserver_ip를 설정해야 한다는 사실을 기억하라.
auxiliary.conf
Auxiliary modules are scripts that run concurrently with malware analysis, this file defines their options.
보조 모듈은 멀웨어 분석과 함께 동시에 실행하는 스크립트다. 이 파일은 그 옵셥들을 정의한다.
Following is the default conf/auxiliary.conf file:
기본적인 conf/auxiliary.conf 파일은 다음과 같다.
[sniffer]
# Enable or disable the use of an external sniffer (tcpdump) [yes/no].
enabled = yes
# Specify the path to your local installation of tcpdump. Make sure this
# path is correct.
tcpdump = /usr/sbin/tcpdump
# We used to define the network interface to capture on in auxiliary.conf, but
# this has been moved to the "interface" field of each Virtual Machinery
# configuration.
# Specify a Berkeley packet filter to pass to tcpdump.
# Note: packer filtering is not possible when using "nictrace" functionality
# from VirtualBox (for example dumping inter-VM traffic).
# bpf = not arp
[mitm]
# Enable man in the middle proxying (mitmdump) [yes/no].
enabled = no
# Specify the path to your local installation of mitmdump. Make sure this
# path is correct.
mitmdump = /usr/local/bin/mitmdump
# Listen port base. Each virtual machine will use its own port to be
# able to make a good distinction between the various running analyses.
# Generally port 50000 should be fine, in this case port 50001, 50002, etc
# will also be used - again, one port per analyses.
port_base = 50000
# Script file to interact with the network traffic. Please refer to the
# documentation of mitmproxy/mitmdump to get an understand of their internal
# workings. (https://mitmproxy.org/doc/scripting/inlinescripts.html)
script = data/mitm.py
# Path to the certificate to be used by mitmdump. This file will be
# automatically generated for you if you run mitmdump once. It's just that
# you have to copy it from ~/.mitmproxy/mitmproxy-ca-cert.p12 to somewhere
# in the analyzer/windows/ directory. Recommended is to write the certificate
# to analyzer/windows/bin/cert.p12, in that case the following option should
# be set to bin/cert.p12.
certificate = bin/cert.p12
[services]
# Provide extra services accessible through the network of the analysis VM
# provided in separate, standalone, Virtual Machines [yes/no].
enabled = no
# Comma-separated list with each Virtual Machine containing said service(s).
services = honeyd
# Time in seconds required to boot these virtual machines. E.g., some services
# will only get online after a minute because initialization takes a while.
timeout = 0
<machinery>.conf
Machinery modules are scripts that define how Cuckoo should interact with your virtualization software of choice.
머신 모듈은 쿠쿠가 선택한 가상 소프트웨어와 어떻게 상호작용해야 할지 정의하는 스크립트다.
Every module should have a dedicated configuration file which defines the details on the available machines. For example, if you created a vmware.py machinery module, you should specify vmware in conf/cuckoo.conf and have a conf/vmware.conf file.
모든 모듈은 가능한 머신에 대해 세부사항을 정의한 설정 파일을 제공한다. 예를 들어 머신 모듈에 vmware.py를 만들었다면 conf/cuckoo.conf에 특정한 vmware를 지정해야 하고 conf/vmware.conf 파일을 가지고 있어야 한다.
Cuckoo provides some modules by default and for the sake of this guide, we’ll assume you’re going to use VirtualBox.
쿠쿠는 기본적으로 몇 가지 모듈을 제공한다. 이 가이드는 버츄얼 박스를 사용한다고 가정한다.
Following is the default conf/virtualbox.conf file:
기본적으로 conf/virtualbox.conf 파일은 다음과 같다.
[virtualbox]
# Specify which VirtualBox mode you want to run your machines on.
# Can be "gui", "sdl" or "headless". Refer to VirtualBox's official
# documentation to understand the differences.
mode = headless
# Path to the local installation of the VBoxManage utility.
path = /usr/bin/VBoxManage
# Default network interface.
interface = vboxnet0
# Specify a comma-separated list of available machines to be used. For each
# specified ID you have to define a dedicated section containing the details
# on the respective machine. (E.g. cuckoo1,cuckoo2,cuckoo3)
machines = cuckoo1
[cuckoo1]
# Specify the label name of the current machine as specified in your
# VirtualBox configuration.
label = cuckoo1
# Specify the operating system platform used by current machine
# [windows/darwin/linux].
platform = windows
# Specify the IP address of the current virtual machine. Make sure that the
# IP address is valid and that the host machine is able to reach it. If not,
# the analysis will fail.
ip = 192.168.56.101
# (Optional) Specify the snapshot name to use. If you do not specify a snapshot
# name, the VirtualBox MachineManager will use the current snapshot.
# Example (Snapshot1 is the snapshot name):
# snapshot = Snapshot1
# (Optional) Specify the name of the network interface that should be used
# when dumping network traffic from this machine with tcpdump. If specified,
# overrides the default interface specified in auxiliary.conf
# Example (vboxnet0 is the interface name):
# interface = vboxnet0
# (Optional) Specify the IP of the Result Server, as your virtual machine sees it.
# The Result Server will always bind to the address and port specified in cuckoo.conf,
# however you could set up your virtual network to use NAT/PAT, so you can specify here
# the IP address for the Result Server as your machine sees it. If you don't specify an
# address here, the machine will use the default value from cuckoo.conf.
# NOTE: if you set this option you have to set result server IP to 0.0.0.0 in cuckoo.conf.
# Example:
# resultserver_ip = 192.168.56.1
# (Optional) Specify the port for the Result Server, as your virtual machine sees it.
# The Result Server will always bind to the address and port specified in cuckoo.conf,
# however you could set up your virtual network to use NAT/PAT, so you can specify here
# the port for the Result Server as your machine sees it. If you don't specify a port
# here, the machine will use the default value from cuckoo.conf.
# Example:
# resultserver_port = 2042
# (Optional) Set your own tags. These are comma separated and help to identify
# specific VMs. You can run samples on VMs with tag you require.
# tags = windows_xp_sp3,32_bit,acrobat_reader_6
[honeyd]
# For more information on this VM please refer to the "services" section of
# the conf/auxiliary.conf configuration file. This machine is a bit special
# in the way that its used as an additional VM for an analysis.
# *NOTE* that if this functionality is used, the VM should be registered in
# the "machines" list in the beginning of this file.
label = honeyd
platform = linux
ip = 192.168.56.102
# The tags should at least contain "service" and the name of this service.
# This way the services auxiliary module knows how to find this particular VM.
tags = service, honeyd
# Not all services actually have a Cuckoo Agent running in the VM, for those
# services one can specify the "noagent" option so Cuckoo will just wait until
# the end of the analysis instead of trying to connect to the non-existing
# Cuckoo Agent. We can't really intercept any inter-VM communication from the
# host / gateway so in order to dump traffic between VMs we have to use a
# different network dumping approach. For this machine we use the "nictrace"
# functionality from VirtualBox (which is basically their internal tcpdump)
# and thus properly dumps inter-VM traffic.
options = nictrace noagent
You can use this same configuration structure for any other machinery module, although existing ones might have some variations or additional configuration options.
기존 기계 모듈에 약간의 변형이나 추가 구성 옵션이있을 수 있지만 다른 기계 모듈에도 이와 동일한 구성 구조를 사용할 수 있습니다.
The comments for the options are self-explainatory.
옵션에 대한 설명은 자명하다.
Following is the default conf/kvm.conf file:
[kvm]
# Specify a comma-separated list of available machines to be used. For each
# specified ID you have to define a dedicated section containing the details
# on the respective machine. (E.g. cuckoo1,cuckoo2,cuckoo3)
machines = cuckoo1
# Specify the name of the default network interface that will be used
# when dumping network traffic with tcpdump.
# Example (virbr0 is the interface name):
interface = virbr0
[cuckoo1]
# Specify the label name of the current machine as specified in your
# libvirt configuration.
label = cuckoo1
# Specify the operating system platform used by current machine
# [windows/darwin/linux].
platform = windows
# Specify the IP address of the current virtual machine. Make sure that the
# IP address is valid and that the host machine is able to reach it. If not,
# the analysis will fail. You may want to configure your network settings in
# /etc/libvirt/<hypervisor>/networks/
ip = 192.168.122.105
# (Optional) Specify the snapshot name to use. If you do not specify a snapshot
# name, the KVM MachineManager will use the current snapshot.
# Example (Snapshot1 is the snapshot name):
# snapshot = Snapshot1
# (Optional) Specify the name of the network interface that should be used
# when dumping network traffic from this machine with tcpdump.
# Example (virbr0 is the interface name):
# interface = virbr0
# (Optional) Specify the IP of the Result Server, as your virtual machine sees it.
# The Result Server will always bind to the address and port specified in cuckoo.conf,
# however you could set up your virtual network to use NAT/PAT, so you can specify here
# the IP address for the Result Server as your machine sees it. If you don't specify an
# address here, the machine will use the default value from cuckoo.conf.
# NOTE: if you set this option you have to set result server IP to 0.0.0.0 in cuckoo.conf.
# Example:
# resultserver_ip = 192.168.122.101
# (Optional) Specify the port for the Result Server, as your virtual machine sees it.
# The Result Server will always bind to the address and port specified in cuckoo.conf,
# however you could set up your virtual network to use NAT/PAT, so you can specify here
# the port for the Result Server as your machine sees it. If you don't specify a port
# here, the machine will use the default value from cuckoo.conf.
# Example:
# resultserver_port = 2042
# (Optional) Set your own tags. These are comma separated and help to identify
# specific VMs. You can run samples on VMs with tag you require.
# tags = windows_xp_sp3,32_bit,acrobat_reader_6
memory.conf
The Volatility tool offers a large set of plugins for memory dump analysis. Some of them are quite slow. In volatility.conf lets you to enable or disable the plugins of your choice. To use Volatility you have to follow two steps:
휘발성 도구는 메모리 덤프 분석을위한 많은 플러그인 세트를 제공합니다. 그들 중 일부는 아주 느립니다. volatility.conf에서 원하는 플러그인을 활성화하거나 비활성화 할 수 있습니다. 휘발성을 사용하려면 두 단계를 따라야합니다.
- Enable it before in processing.conf
- Enable memory_dump in cuckoo.conf
In the memory.conf’s basic section you can configure the Volatility profile and the deletion of memory dumps after processing:
memory.conf의 기본 섹션에서 처리 후 휘발성 프로파일과 메모리 덤프 삭제를 구성 할 수 있습니다.
# Basic settings[basic]# Profile to avoid wasting time identifying itguest_profile = WinXPSP2x86# Delete memory dump after volatility processing.delete_memdump = no
After that every plugin has an own section for configuration:
그 후 모든 플러그인에는 구성을위한 자체 섹션이 있습니다.
# Scans for hidden/injected code and dlls
# 숨겨진 / 삽입 된 코드 및 dll 검사
# http://code.google.com/p/volatility/wiki/CommandReference#malfind
[malfind]
enabled = on
filter = on
# Lists hooked api in user mode and kernel space
# Expect it to be very slow when enabled
# 사용자 모드와 커널 공간에서 hooked api를 출력한다.
# 사용 가능할 때 매우 느릴 것으로 예상하십시오.
# http://code.google.com/p/volatility/wiki/CommandReference#apihooks
[apihooks]
enabled = off
filter = on
The filter configuration helps you to remove known clean data from the resulting report. It can be configured separately for every plugin.
The filter itself is configured in the [mask] section. You can enter a list of pids in pid_generic to filter out processes:
필터 구성을 사용하면 결과 보고서에서 알려진 깨끗한 데이터를 제거하는 데 도움이됩니다. 모든 플러그인마다 별도로 구성 할 수 있습니다.
필터 자체는 [마스크] 섹션에서 구성됩니다. pid_generic에 pid 목록을 입력하여 프로세스를 필터링 할 수 있습니다.
# Masks. Data that should not be logged# Just get this information from your plain VM Snapshot (without running malware)# This will filter out unwanted information in the logs[mask]# pid_generic: a list of process ids that already existed on the machine before the malware was started.pid_generic = 4, 680, 752, 776, 828, 840, 1000, 1052, 1168, 1364, 1428, 1476, 1808, 452, 580, 652, 248, 1992, 1696, 1260, 1656, 1156
processing.conf
This file allows you to enable, disable and configure all processing modules. These modules are located under modules/processing/ and define how to digest the raw data collected during the analysis.
이 파일을 사용하면 모든 처리 모듈을 활성화, 비활성화 및 구성 할 수 있습니다. 이 모듈은 modules / processing /에 있으며 분석 중에 수집 된 원시 데이터를 소화하는 방법을 정의합니다.
You will find a section for each processing module:
각 처리 모듈에 대한 섹션이 있습니다.
# Enable or disable the available processing modules [on/off].
# If you add a custom processing module to your Cuckoo setup, you have to add
# a dedicated entry in this file, or it won't be executed.
# You can also add additional options under the section of your module and
# they will be available in your Python class.
# 사용 가능한 처리 모듈을 활성화 또는 비활성화합니다 [on / off].
# Cuckoo 설정에 사용자 지정 처리 모듈을 추가하면이 파일에
# 전용 항목을 추가해야합니다. 그렇지 않으면 실행되지 않습니다.
# 모듈의 섹션 아래에 옵션을 추가 할 수도 있고
# 파이썬 클래스에서 사용할 수 있습니다.
[analysisinfo]
enabled = yes
[apkinfo]
enabled = no
# Decompiling dex files with androguard in a heavy operation. For large dex
# files it can really take quite a while - it is recommended to limit to a
# certain filesize.
# decompilation_threshold=5000000
# androguard가있는 dex 파일을 무거운 연산으로 decompiling. 대형 dex 용
# 파일은 꽤 오래 걸릴 수 있습니다.
# 특정 파일 크기.
# decompilation_threshold = 5000000
[baseline]
enabled = no
[behavior]
enabled = yes
[buffer]
enabled = yes
[debug]
enabled = yes
[droidmon]
enabled = no
[dropped]
enabled = yes
[dumptls]
enabled = yes
[googleplay]
enabled = no
android_id =
google_login =
google_password =
[memory]
# Create a memory dump of the entire Virtual Machine. This memory dump will
# then be analyzed using Volatility to locate interesting events that can be
# extracted from memory.
# 전체 가상 머신의 메모리 덤프를 만듭니다. 이 메모리 덤프는
# 그런 다음 변동성을 사용하여 분석하여 재미있는 이벤트를 찾을 수 있습니다.
# 메모리에서 추출.
enabled = no
[network]
enabled = yes
[procmemory]
# Enables the creation of process memory dumps for each analyzed process right
# before they terminate themselves or right before the analysis finishes.
# 분석 된 각 프로세스에 대해 프로세스 메모리 덤프 생성 가능
# 분석이 끝나기 전에 끝나기 직전에.
enabled = yes
# It is possible to load these process memory dumps in IDA Pro through the
# generation of IDA Python-based script files. Although currently symbols and
# such are not properly recovered, it is still nice to get a quick look at
# specific memory addresses of a process.
#이 프로세스 메모리 덤프를 IDA Pro에로드 할 수 있습니다.
# IDA Python 기반 스크립트 파일 생성. 현재 기호와
# 그런 것들이 제대로 복구되지 않았으니, 잠깐 살펴 보는 것도 좋습니다.
# 프로세스의 특정 메모리 주소.
idapro = no
[screenshots]
enabled = no
tesseract = /usr/bin/tesseract
[snort]
enabled = no
# Following are various configurable settings. When in use of a recent 2.9.x.y
# version of Snort there is no need to change any of the following settings as
# they represent the defaults.
# 다음은 구성 가능한 다양한 설정입니다. 최근 2.9.x.y 사용시
# 버전의 Snort에서는 다음 설정을 다음과 같이 변경할 필요가 없습니다.
# 그들은 기본값을 나타냅니다.
#
# snort = /usr/local/bin/snort
# conf = /etc/snort/snort.conf
[static]
enabled = yes
[strings]
enabled = yes
[suricata]
enabled = no
# Following are various configurable settings. When in use of a recent version
# of Suricata there is no need to change any of the following settings as they
# represent the defaults.
# 다음은 구성 가능한 다양한 설정입니다.
# 최근 버전의 Suricata를 사용할 때는 기본값을 나타내는
# 다음 설정을 변경할 필요가 없습니다.
#
# suricata = /usr/bin/suricata
# conf = /etc/suricata/suricata.yaml
# eve_log = eve.json
# files_log = files-json.log
# files_dir = files
#
# Uncommenting the following line makes our processing module use the socket
# mode in Suricata. This is quite the performance improvement as instead of
# having to load all the Suricata rules for each time the processing module is
# ran (i.e., for every task), the rules are only loaded once and then we talk
# to its API. This does require running Suricata as follows or similar;
# 다음 줄을 주석 처리하지 않으면 우리의 처리 모듈이 Suricata에서
# 소켓 모드를 사용하게 됩니다. 처리 모듈이 실행될 때마다 (즉, 모든 작업에 대해)
# 모든 Suricata 규칙을로드해야하는 대신 규칙을 한 번 로드한 다음
# 해당 API와 대화하기 때문에 성능이 크게 향상됩니다.
# 이 경우 Suricata를 다음과 같이 실행해야합니다.
# "suricata --unix-socket -D".
# (Please find more information in utils/suricata.sh for now).
# socket = /var/run/suricata/cuckoo.socket
[targetinfo]
enabled = yes
[virustotal]
enabled = yes
# How much time we can wait to establish VirusTotal connection and get the
# report.
# VirusTotal 연결을 설정하고 보고서를 받기까지 얼마나 기다려야하는지 설정
timeout = 60
# Enable this option if you want to submit files to VirusTotal not yet available
# in their database.
# 해당 데이터베이스에서 아직 사용할 수없는 VirusTotal에 파일을 제출하려면
# 이 옵션을 선택하십시오.
# NOTE: if you are dealing with sensitive stuff, enabling this option you could
# leak some files to VirusTotal.
# 참고 : 중요한 항목을 다루는 경우이 옵션을 활성화하면 일부 파일이
# VirusTotal으로 유출 될 수 있습니다.
scan = 0
# Add your VirusTotal API key here. The default API key, kindly provided
# by the VirusTotal team, should enable you with a sufficient throughput
# and while being shared with all our users, it shouldn't affect your use.
# 여기에 VirusTotal API 키를 추가하십시오. VirusTotal 팀에서 친절하게
# 제공하는 기본 API 키는 충분한 처리량을 제공하며 모든 사용자와
# 공유되지만 사용에 영향을주지 않습니다.
key = a0283a2c3d55728300d064874239b5346fb991317e8449fe43c902879d758088
You might want to configure the VirusTotal key if you have an account of your own.
자체 계정이있는 경우 VirusTotal 키를 구성 할 수 있습니다.
reporting.conf
The conf/reporting.conf file contains information on the automated reports generation.
conf의 / reporting.conf 파일은 자동 보고서 생성에 대한 정보가 포함되어 있습니다.
It contains the following sections:
여기에는 다음 단원이 포함되어 있습니다 :
# Enable or disable the available reporting modules [on/off].
# If you add a custom reporting module to your Cuckoo setup, you have to add
# a dedicated entry in this file, or it won't be executed.
# You can also add additional options under the section of your module and
# they will be available in your Python class.
# [켜기 / 끄기] 사용할 수있는보고 모듈을 사용하거나 사용하지 않도록 설정합니다.
# 당신이 당신의 쿠쿠 설정에 사용자 정의보고 모듈을 추가하는 경우,
# 당신은 이 파일에 전용 항목을 추가하거나 실행하지 않도록 지정할 수 있다.
# 그러므로 모듈의 섹션에서 추가 옵션을 추가 할 수 있고, Python 클래스에서 사용할 수 있습니다.
[jsondump]
enabled = yes
indent = 4
encoding = latin-1
calls = yes
[reporthtml]
enabled = no
[mongodb]
enabled = no
host = 127.0.0.1
port = 27017
db = cuckoo
store_memdump = yes
paginate = 100
[elasticsearch]
enabled = no
# Comma-separated list of ElasticSearch hosts.
hosts = 127.0.0.1
# Set to yes if we want to be able to search every API call instead of just
# through the behavioral summary.
calls = no
# Index of this Cuckoo instance. If multiple Cuckoo instances connect to the
# same ElasticSearch host then this index (in Moloch called "instance") should
# be unique for each Cuckoo instance.
#이 Cuckoo 인스턴스의 색인. 여러 개의 Cuckoo 인스턴스가 동일한
# ElasticSearch 호스트에 연결되어 있으면이 인덱스 ( "인스턴스"라는 Moloch에서)는
# 각 Cuckoo 인스턴스마다 고유해야 합니다.
#
# index = cuckoo
#
# Just in case we will have report updates in Cuckoo one will be able to
# update to a new scheme by modifying the ElasticSearch document type.
# 우리가 Cuckoo에서 보고서를 업데이트 할 예정이라면
# ElasticSearch 문서 유형을 수정하여 새 스키마로 업데이트 할 수 있습니다.
#
# type = cuckoo
[moloch]
enabled = no
# If the Moloch web interface is hosted on a different IP address than the
# Cuckoo Web Interface then you'll want to override the IP address here.
# Moloch 웹 인터페이스가 Cuckoo Web Interface와 다른 IP 주소로 호스팅되는 경우
# 여기에서 IP 주소를 무시하고 싶습니다.
# host = 127.0.0.1
#
# Following are various configurable settings. When in use of a recent version
# of Moloch there is no need to change any of the following settings as they
# represent the defaults.
# 다음은 구성 가능한 다양한 설정입니다.
# 최근 버전의 Moloch를 사용할 때 기본값을 나타내는 다음 설정을 변경할 필요가 없습니다.
#
# moloch_capture = /data/moloch/bin/moloch-capture
# conf = /data/moloch/etc/config.ini
# instance = cuckoo
By setting those option to on or off you enable or disable the generation of such reports.
'악성코드 및 포렌식' 카테고리의 다른 글
| 스파이웨어 악성코드 (0) | 2021.03.29 |
|---|---|
| 쿠쿠박스 인터페이스와 유틸리티 (0) | 2021.03.28 |
| 샌디박싱과 쿠쿠박스 (0) | 2021.03.28 |
| 트로이 목마 악성코드 분석 - 4 (0) | 2021.03.28 |
| 트로이 목마 악성코드 분석 - 3 (0) | 2021.03.28 |
