HaboMalHunter

(يرجى الاطلاع على النسخة الصينية هنا)

يشجع برنامج الحوافز المفتوح المصدر من Tencent على مشاركة المطورين ومساهماتها ، ويتطلع إلى انضمامك.

Habomalhunter هو نظام فرعي لنظام تحليل البرامج الضارة HABO (https://habo.qq.com) ، والذي يمكن استخدامه لتحليل البرامج الضارة الآلية وتقييم الأمان على نظام Linux. تساعد الأداة في تحليل الأمان في استخراج الميزات الثابتة والديناميكية من البرامج الضارة بفعالية وكفاءة. يوفر التقرير الذي تم إنشاؤه معلومات مهمة حول العملية وملف I/O ومكالمات الشبكة والنظام.

يمكن استخدام الأداة للتحليل الثابت والديناميكي لملفات ELF على نظام Linux X86/X64.

1. المعلومات الأساسية: MD5 ، الاسم ، نوع الملف ، الحجم و SSDEEP.
2. لذا فإن تبعية الملفات: حتى يتم تطبيق معلومات الملفات (تم تطبيقها فقط للملفات المرتبطة الديناميكية).
3. معلومات السلاسل.
4. رأس قزم ونقطة الدخول.
5. IP والموانئ
6. شريحة قزم وقسم وتجزئة.
7. أسماء الملفات المصدر.

1. البدء والإنهاء: الطوابع الزمنية والوقت المنقضي.
2. المعالجة المعلومات: استنساخ ، execve والخروج وما إلى ذلك.
3. ملف I/O: افتح ، قراءة ، الكتابة وحذف الخ.
4. الشبكة: TCP و UDP و HTTP و HTTPS وما إلى ذلك.
5. الإجراءات الخبيثة النموذجية: الحذف الذاتي ، midification والقفل.
6. معلومات API: GetPid ، النظام ، DUP ووظائف LIBC الأخرى.
7. تسلسل Syscall.

1. تقرير HTML.

2. تقرير JSON.

سيتم تشغيل الأداة على VirtualBox 5.1 مع Ubuntu 14.04 LTS.

لتثبيت برنامج Thrid Party ، يرجى تنفيذ الأمر التالي بعد الحصول على الرمز:

root# cd ./util/update_image
root# bash update_image.sh

git clone https://github.com/Tencent/HaboMalHunter.git

أولاً ، يرجى تحميل الكود المصدر في VM. قم بتنفيذ الأمر التالي بإذن من الجذر ضمن الدليل /الجذر.

cp -ra /media/sf_Source/ * .

سيقوم الأمر بتجميع وتعبئة التعليمات البرمجية المصدر ، ثم سيقوم بإنشاء ملفين zip.

bash package.sh

باستخدام ./test/bin/read.32.elf لإجراء اختبار. سيقوم الأمر الثاني بنسخ التقرير وتسجيل خارج VM.

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

من بين النتيجة ، output.static هو نتيجة تحليل ثابت ، output.dynamic . dynamic هو نتيجة التحليل الديناميكي ، والنظام system.log هو سجل وقت التشغيل. يمكن للمستخدمين أيضًا تحميل العينات إلى نظام تحليل البرامج الضارة HABO (https://habo.qq.com) للحصول على تقرير موجز.

1. [تم] تحليل الذاكرة.
2. المزيد من قواعد Yara (./tils/yara/malware/)
3. [تم] تنسيق إخراج HTML

1. يجب إجراء تحليل البرامج الضارة داخل بيئة الجهاز الظاهري ويجب تمكين Intel-VT على BIOS للمضيف. لن نكون مسؤولين عن أضرار البرامج الضارة التي تم تحليلها.
2. ينصح VirtualBox 5.1.
3. ستقوم الأداة أيضًا بإنشاء سجل ديناميكي ، والذي يحتوي على رسالة خطأ واحدة ، لملفات ELF التي لا يمكن تنفيذها ، مثل الملفات.

Habomalhunter هو عنصر فرعي مفتوح المصدر لنظام تحليل Hubble (https://habo.qq.com) ، وهي أداة مفتوحة المصدر للتحليل الآلي والكشف عن أمان الملفات ضمن منصة Linux. يمكن أن يساعد استخدام هذه الأداة محللي الأمن على الحصول على خصائص سلوك ثابت وديناميكية للعينات الضارة بطريقة موجزة وفعالة. يوفر تقرير التحليل معلومات أساسية مثل العمليات والملفات والشبكات ومكالمات النظام.

يدعم رمز المصدر المفتوح التحليل الديناميكي الثابت الآلي لملفات ELF على منصات Linux X86/X64.

1. المعلومات الأساسية: بما في ذلك ملف MD5 ، الاسم ، النوع ، الحجم و SSDEEP.
2. الاعتماد على المعلومات: بالنسبة للملفات المرتبطة ديناميكيًا ، تعتمد الإخراج على المعلومات.
3. معلومات السلسلة
4. معلومات رأس قزم ، نقطة الدخول
5. معلومات IP والمنفذ
6. معلومات قطاع ELF ومعلومات القسم وقيمة التجزئة
7. اسم الملف المصدر

1. تشغيل التشغيل الديناميكي معلومات نهاية التشغيل: تستغرق وقتًا طويلاً ، إلخ.
2. معلومات العملية: استنساخ استدعاء ، مكالمة execve ، نهاية إنشاء العملية ، إلخ.
3. معلومات تشغيل الملف: فتح ، وقراءة ، تعديل ، حذف وعمليات ملفات IO الأخرى
4. معلومات الشبكة: TCP و UDP و HTTP و HTTPS و SSL وغيرها من المعلومات
5. السلوك الخبيث النموذجي: الحكم الذاتي ، التعديل الذاتي وقفل الذات ، إلخ.
6. معلومات API: GetPid ، نظام ، DUP ومكالمات وظيفة LIBC الأخرى
7. معلومات تسلسل Syscall

يتطلب استخدام إصدار Hubble Linux Open Source لتحليل الفيروس أولاً إنشاء بيئة آلية افتراضية لتشغيل الفيروسات. لا تقم أبدًا بتشغيل الفيروسات وتحليلها مباشرة في بيئات حقيقية. يستخدم المشروع VirtualBox 5.1 لتشغيل Ubuntu 14.04 LTS كبيئة تحليلية بشكل افتراضي.

تثبيت البرامج ذات الصلة والحصول على الرمز المصدر ، يرجى تشغيل الأمر التالي كجذر في الجهاز الظاهري:

root# cd ./util/update_image
root# bash update_image.sh

استخدم أدوات GIT للحصول على الرمز المصدر.

git clone https://github.com/Tencent/HaboMalHunter.git

معظم رمز المصدر هو بيثون ، ويجب تجميع بعض رمز C وتعبئته. قم أولاً بتحميل الكود على الجهاز الظاهري. استخدم الهوية الجذرية واستخدام الأوامر في / الجذر / الدليل ، كما هو موضح في الشكل:

cp -ra /media/sf_Source/ * .

قم بتشغيل الأمر ، وتجميع الحزمة ، وإخراج ملفين ، analyzeControl_1129.zip و test_1129.zip ، كما هو موضح في الشكل:

bash package.sh

هذه المرة ، استخدمنا ملف الاختبار ./test/bin/read.32.felf للاختبار. استخدم الأمر التالي: سيقوم الأمر الثاني بنسخ نتائج التحليل خارج الجهاز الظاهري وسيتم استخدامه من قبل المحللين للقراءة.

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

في نتائج التحليل ، فإن الإخراج. Static هو نتيجة التحليل الثابت ، والإخراج. dynamic هو نتيجة التحليل الديناميكي ، والنظام. log هو سجل وقت التشغيل. في الوقت نفسه ، يمكن أيضًا إجراء تحليل العينة مع عرض النتائج في نظام تحليل Hubble (https://habo.qq.com).

1. [مكتمل] تريد استخدام التقلب والليمون لتحليل الذاكرة
2. آمل أن تضيف المزيد من قواعد الفيروسات (./util/yara/malware)
3. [أكمل] آمل تحويل تنسيق بيانات الإخراج JSON إلى صفحة HTML للعرض

1. لتحليل الفيروسات ، يرجى تنفيذها في بيئة الجهاز الظاهري وتمكين وظيفة Intel-VT في إعدادات BIOS. لا يتحمل هذا المشروع أي مسؤولية عن أي مشكلات أمان البرمجيات الناجمة عن تشغيل الفيروسات.
2. يوصى باستخدام VirtualBox 5.1 أو أعلى لتشغيل الأجهزة الظاهرية.
3. بالنسبة لملفات ELF التي لا يمكن تشغيلها ، مثل الملفات ، سيقوم نظام تحليل Hubble بإنشاء سجلات ديناميكية افتراضيًا ، ولكن لا توجد سوى رسائل خطأ لا يمكن تشغيلها.