マルウェア動的解析に便利なPythonプログラムのNoribenについて、仮想環境上でエラって動かなかったので、直し方について記録します。
「そもそもNoribenとは何?」という方は本家参照のこと。
環境
・Windows10 home edition(Ver1903)
・Python 2.7
※FlareVMで構築
事象「7: Error creating CSV」
↓Ctrl+Cで停止後に下記のエラーが出力されて、動作が停止してしまう。
↓Processmonitorのファイルは作成できているんだけど、差分ファイルが作成できない状況のよう。
解決方法
まったく同様の事象がissueとして上がっていました。
FlareVMで構築していると起こる可能性が高そうです。
https://github.com/Rurik/Noriben/issues/14
ただ、載っている方法を試してみても私は解決しなかったです、、、
ほかにも、Procmon.exeをNoriben-masterの配下に置いておくなどの解決策もあったようですが、試した結果変わらずでした;;
何度か動作させていると↓のようなエラーも出力されることがありました。
既定のアプリの設定ができていないのかも?と思い、txt、csv、pmlに紐づく既定のアプリを設定しなおしました。
txtとcsvはサクラエディタに変更しました。
参考:Windows 10 の既定のプログラムを変更する
この結果なのかどうかわかりませんが、正常動作するようになりました。
おまけ:Noribenの切り分けのコツ。
Noribenは成功した状態だと下記のように4つのファイルが生成されます。
これらのファイルはコマンドプロンプトの実行パスに保存されます。
ファイルの有無によって切り分けが可能かもしれません。
1)pmlがない場合
→そもそもProcessmonitorが動作していない
2)csv
→差分の生成に問題がありそう
3/4)txt、timeline.csv
→時間がかかっているか、実行失敗しているかも
ご参考までに!