HaboMalHunter 詳細介紹
HaboMalHunter 是哈勃分析系統的開源子項目,用于 Linux 平臺下進行自動化分析、文件安全性檢測的開源工具。使用該工具能夠幫助安全分析人員簡潔高效的獲取惡意樣本的靜態和動態行為特征。分析結果中提供了進程、文件、網絡和系統調用等關鍵信息。
功能清單
開源代碼支持Linux x86/x64 平臺上的ELF文件的自動化靜態動態分析功能。
靜態分析
基礎信息:包括文件md5,名稱,類型,大小和SSDEEP等信息。
依賴so信息:對于動態鏈接的文件,輸出依賴的so信息。
字符串信息
ELF頭信息,入口點
IP和端口信息
ELF段信息,節信息和hash值
源文件名稱
動態分析
動態運行啟動結束信息:耗時等
進程信息:clone系統調用,execve調用,進程創建結束等
文件操作信息:打開,讀取,修改,刪除等文件IO操作
網絡信息:TCP, UDP, HTTP, HTTPS, SSL等信息
典型惡意行為:自刪除,自修改和自鎖定等
API信息:getpid, system, dup 等libc函數調用
syscall 序列信息
京公網安備 11010502049343號