Habo Linux惡意軟件分析系統(tǒng)HaboMalHunter

責(zé)任編輯:editor007

2017-01-19 20:40:07

摘自:開源中國

HaboMalHunter 是哈勃分析系統(tǒng)的開源子項(xiàng)目,用于 Linux 平臺下進(jìn)行自動化分析、文件安全性檢測的開源工具。使用該工具能夠幫助安全分析人員簡潔高效的獲取惡意樣本的靜態(tài)和動態(tài)行為特征。

HaboMalHunter 詳細(xì)介紹

HaboMalHunter 是哈勃分析系統(tǒng)的開源子項(xiàng)目,用于 Linux 平臺下進(jìn)行自動化分析、文件安全性檢測的開源工具。使用該工具能夠幫助安全分析人員簡潔高效的獲取惡意樣本的靜態(tài)和動態(tài)行為特征。分析結(jié)果中提供了進(jìn)程、文件、網(wǎng)絡(luò)和系統(tǒng)調(diào)用等關(guān)鍵信息。

功能清單

開源代碼支持Linux x86/x64 平臺上的ELF文件的自動化靜態(tài)動態(tài)分析功能。

靜態(tài)分析

基礎(chǔ)信息:包括文件md5,名稱,類型,大小和SSDEEP等信息。

依賴so信息:對于動態(tài)鏈接的文件,輸出依賴的so信息。

字符串信息

ELF頭信息,入口點(diǎn)

IP和端口信息

ELF段信息,節(jié)信息和hash值

源文件名稱

動態(tài)分析

動態(tài)運(yùn)行啟動結(jié)束信息:耗時等

進(jìn)程信息:clone系統(tǒng)調(diào)用,execve調(diào)用,進(jìn)程創(chuàng)建結(jié)束等

文件操作信息:打開,讀取,修改,刪除等文件IO操作

網(wǎng)絡(luò)信息:TCP, UDP, HTTP, HTTPS, SSL等信息

典型惡意行為:自刪除,自修改和自鎖定等

API信息:getpid, system, dup 等libc函數(shù)調(diào)用

syscall 序列信息

Habo Linux 惡意軟件分析系統(tǒng) HaboMalHunter

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號