habomalhunter 詳細介紹
habomalhunter 是哈勃分析系統的開源子項目,用于 linux 平台下進行自動化分析、檔案安全性檢測的開源工具。使用該工具能夠幫助安全分析人員簡潔高效的擷取惡意樣本的靜态和動态行為特征。分析結果中提供了程序、檔案、網絡和系統調用等關鍵資訊。
功能清單
開源代碼支援linux x86/x64 平台上的elf檔案的自動化靜态動态分析功能。
靜态分析
基礎資訊:包括檔案md5,名稱,類型,大小和ssdeep等資訊。
依賴so資訊:對于動态連結的檔案,輸出依賴的so資訊。
字元串資訊
elf頭資訊,入口點
ip和端口資訊
elf段資訊,節資訊和hash值
源檔案名稱
動态分析
動态運作啟動結束資訊:耗時等
程序資訊:clone系統調用,execve調用,程序建立結束等
檔案操作資訊:打開,讀取,修改,删除等檔案io操作
網絡資訊:tcp, udp, http, https, ssl等資訊
典型惡意行為:自删除,自修改和自鎖定等
api資訊:getpid, system, dup 等libc函數調用
syscall 序列資訊
作者:佚名
來源:51cto