HaboMalHunter 詳細(xì)介紹
HaboMalHunter 是哈勃分析系統(tǒng)的開源子項(xiàng)目,用于 Linux 平臺下進(jìn)行自動化分析、文件安全性檢測的開源工具。使用該工具能夠幫助安全分析人員簡潔高效的獲取惡意樣本的靜態(tài)和動態(tài)行為特征。分析結(jié)果中提供了進(jìn)程、文件、網(wǎng)絡(luò)和系統(tǒng)調(diào)用等關(guān)鍵信息。
功能清單
開源代碼支持Linux x86/x64 平臺上的ELF文件的自動化靜態(tài)動態(tài)分析功能。
靜態(tài)分析
基礎(chǔ)信息:包括文件md5,名稱,類型,大小和SSDEEP等信息。
依賴so信息:對于動態(tài)鏈接的文件,輸出依賴的so信息。
字符串信息
ELF頭信息,入口點(diǎn)
IP和端口信息
ELF段信息,節(jié)信息和hash值
源文件名稱
動態(tài)分析
動態(tài)運(yùn)行啟動結(jié)束信息:耗時等
進(jìn)程信息:clone系統(tǒng)調(diào)用,execve調(diào)用,進(jìn)程創(chuàng)建結(jié)束等
文件操作信息:打開,讀取,修改,刪除等文件IO操作
網(wǎng)絡(luò)信息:TCP, UDP, HTTP, HTTPS, SSL等信息
典型惡意行為:自刪除,自修改和自鎖定等
API信息:getpid, system, dup 等libc函數(shù)調(diào)用
syscall 序列信息