Анализ производительности и варианты оптимизации Cuckoo Sandbox

В описываемом сценарии гостевая машина задаётся с объёмом ОЗУ 2048 MB и диском VDI 32 GB. При тяжёлых образцах и расширенном сборе артефактов ресурс нужно масштабировать с учётом хоста.

В документе для processing.conf рекомендуется в секции [memory] параметр enabled = no; в секции [procmemory] параметр extract_dll = yes; проверить, чтобы в секции [screenshots] параметр tesseract был no при отсутствии работоспособного Tesseract OCR на гость.

При отключённом дампе процессной памяти время анализа и объём результатов обычно ниже при отказе от тяжёлых задач без Volatility.

Необратимость настроек (Defender, брандмауэр, автоматические обновления Windows) снижает фон для предсказуемости поведения вредоноса; такая ОС должна использоваться только в песочнице.

По желанию в Firefox уровень security.sandbox.content.level может быть снижен до 0 («более эксплуатируемый браузер»).

Для упрощённого сценария выбран пакет браузера ff; Internet Explorer при этом не используется.

Следующая страница: Справочник Cuckoo Sandbox.