CAPEv2 Teil 2

content/blog/2023-12-20-cape-part2.md

@@ -1,7 +1,7 @@
 ---
 title: "CAPEv2 Sandbox Teil 2: Einrichtung der VM(s)"
 date: 2023-12-20T14:41:12+01:00
-draft: true
+draft: false
 ---
 
 Nach der Installation der Sandbox-Umgebung an sich kann man an die Erstellung und Installation der VMs gehen.
@@ -34,7 +34,7 @@ Diese IP-Addresse muss dann später in der `/opt/CAPEv2/conf/kvm.conf` eingetrag
 Ebenfalls sollten UAC und die Windows Firewall deaktiviert werden:
 
 ![Windows 7 Control Panel deaktivierte Firewall](/img/blog/2023-cape/win7_firew.png)
-![Windows 7 Control Panel deaktivierte User Accoutn Control](/img/blog/2023-cape/win7_uac.png)
+![Windows 7 Control Panel deaktivierte User Account Control](/img/blog/2023-cape/win7_uac.png)
 
 In der Regel setze ich die Auflösung der VM auch hoch, entweder auf 1280x768 oder 1920x1080. Für die Aktivierung von
 Windows 7 und Office 2010 muss leider - sofern man keinen KMS Server besitzt, den man diesen VMs aussetzen möchte - die
@@ -81,4 +81,47 @@ erstellt werden.
 
 ## VM in CAPE bekanntmachen
 
+Nun muss noch die `/opt/CAPEv2/conf/kvm.conf`-Datei angepasst werden. In diesem Fall müssen primär "cuckoo1" durch den
+Namen der VM ersetzt werden (z.B. win7) und die eingetragene IP-Adresse sowie das Netzwerk angepasst werden.
+In meinem Fall: 
+    - cuckoo1 > win7
+    - 192.168.122.105 > 192.168.1.188
+    - virbr0 > virbr1
+Dazu müssen noch die Tags hinzugefügt werden, z.B. `tags = win7,msoffice2010`. Bei Windows-Maschinen muss (Wie in der
+Config-File beschrieben), einer der Tags `winxp,win7,win10,win11` hinzugefügt werden. Nun sollte CAPEv2 die VM kennen. Um
+dies zu testen, sollte man am besten das System noch einmal neu starten, oder alle CAPE-Dienste neu starten.  
 
+Sollte der Dienst weiterhin nicht starten, kann man mit 
+```sh
+sudo -u cape bash -c "cd /opt/CAPEv2 &&poetry run python /opt/CAPEv2/cuckoo.py"
+```
+versuchen, das Programm manuell zu starten und eventuelle Fehler zu debuggen. Hier wird einem auch angezeigt, welche 
+Python-Pakete noch fehlen und ggf. nachinstalliert werden müssen. Dabei sollte beachtet werden, dass diese immer als
+`cape` im `/opt/CAPEv2/`-Verzeichnis ausgeführt werden müssen. 
+```
+root@cape:~# systemctl status cape
+● cape.service - CAPE
+     Loaded: loaded (/lib/systemd/system/cape.service; enabled; vendor preset: enabled)
+     Active: active (running) since Wed 2023-12-27 17:23:29 UTC; 4s ago
+       Docs: https://github.com/kevoreilly/CAPEv2
+   Main PID: 3515 (python)
+      Tasks: 1 (limit: 38183)
+     Memory: 99.4M
+        CPU: 4.149s
+     CGroup: /system.slice/cape.service
+             └─3515 /home/cape/.cache/pypoetry/virtualenvs/capev2-t2x27zRb-py3.10/bin/python cuckoo>
+```
+
+## Reporting-Konfiguration
+
+In der Datei `/opt/CAPEv2/conf/reporting.conf` muss zumindest das Reporting nach MongoDB oder Elasticsearch aktiviert
+werden, andere Reports können aber ebenfalls aktiviert werden (z.B. PDF-Reports, die einfach weiterzugeben sind).
+Nach dieser Änderung muss noch einmal der `cape`-Dienst neu gestartet werden (`systemctl restart cape`).
+
+## CAPE-Web-UI
+Nun sollte hoffentlich die Web-UI erreichbar sein und funktionieren:
+
+![CAPEv2 Dashboard](/img/blog/2023-cape/cape_dashboard.png) 
+
+Jetzt kann man unter "Submit" eine Testdatei hochladen, die analysiert werden soll.
+Dann heißt es nur noch warten und hoffen, dass der Report erfolgreich generiert wird und keine Fehler geworfen werden.

content/blog/2023-12-27-cape-part-3.md

@@ -0,0 +1,8 @@
+---
+title: "CAPEv2 Sandbox Teil 3: Interaktive Analyse"
+date: 2023-12-27
+draft: true
+---
+
+
+