开源项目推荐：zer0m0n v0.8 —— 驱动级的Cuckoo SandBox分析增强版

开源项目推荐：zer0m0n v0.8 —— 驱动级的Cuckoo SandBox分析增强版

项目介绍

zer0m0n 是一个专为Cuckoo Sandbox设计的内核驱动程序，旨在在恶意软件执行过程中进行更深入的系统分析。这款驱动的目标是提供用户选择，可以在经典用户态分析和更难以检测或规避的内核分析之间切换。zer0m0n 目前支持Windows XP 32位和Windows 7 32位/64位操作系统。

项目技术分析

zer0m0n 通过挂钩系统服务描述表（SSDT）实现对关键内核函数的监控，并记录调用参数。它还利用Windows API回调来跟踪注册表操作和内核组件加载（如驱动）。当提交文件到Cuckoo并选择内核分析时，Cuckoo会首先挂起进程，并通过IOCTL将待监视的PID发送给驱动。驱动程序将其添加到监测进程列表中，然后Cuckoo恢复恶意软件的执行。

zer0m0n 包含以下主要特性：

• 捕获未知代码区域执行时的物理内存快照（仅限x86-32）
• 处理文件删除
• 兼容Cuckoo 1.1
• 跟踪创建、关闭、更新文件的操作
• 检测和处理进程创建、线程创建、线程暂停等
• 注册表操作日志记录
• 使用过滤通信端口与用户态进程交互

项目及技术应用场景

zer0m0n 主要用于安全研究人员和逆向工程师，他们在对抗高级威胁和研究恶意软件行为时，需要更全面的分析环境。由于其能绕过一些常见的虚拟化检测机制，对于测试和分析那些复杂、自我保护的恶意软件尤其有用。同时，对于虚拟机逃避和代码注入策略的研究也有重要意义。

项目特点

• 深度监控：通过内核级别的挂钩，zer0m0n可以捕获包括文件操作、注册表修改、线程创建等在内的详细活动。
• 广泛兼容性：支持XP和Win7的多个版本，涵盖32位和64位系统。
• 自适应防御：能够动态监测潜在的代码注入和VM检测技术。
• 灵活配置：用户可以选择进行用户态或内核态分析，以应对不同的分析需求。
• 易集成：与Cuckoo Sandbox无缝集成，只需简单配置即可启用内核分析功能。

尽管zer0m0n处于早期开发阶段，但其强大的功能已经使其成为恶意软件分析工具箱中的重要一员。如果你正在寻找一个能够深入挖掘恶意软件行为的解决方案，zer0m0n无疑是值得尝试的开源项目。