1 月 17 日,腾讯宣布正式开源恶意软件分析工具 HaboMalHunter。
HaboMalHunter是哈勃分析系统的开源子项目,用于 Linux 平台下进行自动化分析、文件安全性检测的开源工具。使用该工具能够帮助安全分析人员简洁高效的获取恶意样本的静态和动态行为特征。分析结果中提供了进程、文件、网络和系统调用等关键信息。
功能清单
开源代码支持 Linux x86/x64 平台上的 ELF 文件的自动化静态动态分析功能。
静态分析
基础信息:包括文件 md5,名称,类型,大小和 SSDEEp 等信息。
依赖 so 信息:对于动态链接的文件,输出依赖的 so 信息。
字符串信息
ELF 头信息,入口点
Ip 和端口信息
ELF 段信息,节信息和 hash 值
源文件名称
动态分析
动态运行启动结束信息:耗时等
进程信息:clone 系统调用,execve 调用,进程创建结束等
文件操作信息:打开,读取,修改,删除等文件 IO 操作
网络信息:TCp, UDp, HTTp, HTTpS, SSL 等信息
典型恶意行为:自删除,自修改和自锁定等
ApI 信息:getpid, system, dup 等 libc 函数调用
syscall 序列信息
目前该项目已完成使用 volatility 和 LiME 进行内存分析,以及将输出的 json 数据格式转化成为 HTML 页面进行展示等功能,未来将会增加更多的病毒规则(./util/yara/malware)。
济宁IT新闻