騰訊開源惡意軟件分析工具 HaboMalHunter
1 月 17 日,騰訊宣布正式開源惡意軟件分析工具 HaboMalHunter。
HaboMalHunter 是哈勃分析系統的開源子項目,用于 Linux 平臺下進行自動化分析、文件安全性檢測的開源工具。使用該工具能夠幫助安全分析人員簡潔高效的獲取惡意樣本的靜態和動態行為特征。分析結果中提供了進程、文件、網絡和系統調用等關鍵信息。
功能清單
開源代碼支持 Linux x86/x64 平臺上的 ELF 文件的自動化靜態動態分析功能。
靜態分析
-
基礎信息:包括文件 md5,名稱,類型,大小和 SSDEEP 等信息。
-
依賴 so 信息:對于動態鏈接的文件,輸出依賴的 so 信息。
-
字符串信息
-
ELF 頭信息,入口點
-
IP 和端口信息
-
ELF 段信息,節信息和 hash 值
-
源文件名稱
動態分析
-
動態運行啟動結束信息:耗時等
-
進程信息:clone 系統調用,execve 調用,進程創建結束等
-
文件操作信息:打開,讀取,修改,刪除等文件 IO 操作
-
網絡信息:TCP, UDP, HTTP, HTTPS, SSL 等信息
-
典型惡意行為:自刪除,自修改和自鎖定等
-
API 信息:getpid, system, dup 等 libc 函數調用
-
syscall 序列信息
目前該項目已完成使用 volatility 和 LiME 進行內存分析,以及將輸出的 json 數據格式轉化成為 HTML 頁面進行展示等功能,未來將會增加更多的病毒規則(./util/yara/malware)。
來自: 開源中國社區
本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!