HaboMalHunter

(Пожалуйста, смотрите китайскую версию здесь)

Программа стимулирования с открытым исходным кодом Tencent поощряет участие и взносы разработчиков и с нетерпением ожидает вашего присоединения.

Habomalhunter-это подпроект системы анализа вредоносных программ Habo (https://hobo.qq.com), которая может использоваться для автоматического анализа вредоносных программ и оценки безопасности в системе Linux. Инструмент помогает эффективно и эффективно анализировать извлечение статических и динамических функций из вредоносных программ. Сгенерированный отчет содержит значительную информацию о процессе, вводе/выводе файлов, сетевых и системных вызовах.

Инструмент можно использовать для статического и динамического анализа файлов ELF на платформе Linux X86/X64.

1. Основная информация: MD5, имя, тип файла, размер и SSDEEP.
2. Таким образом, зависимость файлов: поэтому файлы информации (применяется только для динамических связанных файлов).
3. Информация о струнах.
4. Заголовок эльфа и точка входа.
5. IP и порты
6. Сегмент эльфа, раздел и хэш.
7. Имена исходных файлов.

1. Начало и прекращение: штампы времени и прошедшее время.
2. Обрабатывает информацию: клонировать, выполнять и выходить и т. Д.
3. Файл ввода/вывод: открыть, читать, записать и удалять и т. Д.
4. Сеть: TCP, UDP, HTTP и HTTPS и т. Д.
5. Типичные злоумышленные действия: самостоятельное удаление, заслужение и блокировка.
6. Информация API: GetPID, System, DUP и другие функции LIBC.
7. Последовательности Syscall.

1. Отчет HTML.

2. Отчет JSON.

Инструмент будет работать на VirtualBox 5.1 с Ubuntu 14.04 LTS.

Чтобы установить программное обеспечение Thrid Party, пожалуйста, выполните следующую команду после получения кода:

root# cd ./util/update_image
root# bash update_image.sh

git clone https://github.com/Tencent/HaboMalHunter.git

Во -первых, пожалуйста, загрузите исходный код в виртуальную машину. Выполните следующую команду с корневым разрешением в каталоге /root.

cp -ra /media/sf_Source/ * .

Команда будет скомпилировать и упаковывать исходный код, а затем будет генерировать два файла ZIP.

bash package.sh

Использование ./test/bin/read.32.elf для проведения теста. Вторая команда скопирует отчет и входит в систему за пределами виртуальной машины.

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

system.log результата output.static является результатом статического анализа, output.dynamic . Пользователи также могут загружать образцы в систему анализа вредоносных программ HABO (https://hobo.qq.com), чтобы получить краткий отчет.

1. [Готово] Анализ памяти.
2. Больше правил Yara (./utils/yara/malware/)
3. [Готово] Формат вывода HTML

1. Анализ вредоносных программ должен быть проведен в среде виртуальной машины, и Intel-VT должен быть включен в BIOS хоста. Мы не несем ответственности за ущерб анализируемой вредоносной программе.
2. VirtualBox 5.1 рекомендуется.
3. Инструмент также будет генерировать динамический журнал, который содержит одно сообщение об ошибке для файлов ELF, которые не могут быть выполнены, например, файлы SO.

Habomalhunter является подпроектом с открытым исходным кодом системы анализа Хаббла (https://hobo.qq.com), инструмента с открытым исходным кодом для автоматического анализа и обнаружения безопасности файлов на платформе Linux. Использование этого инструмента может помочь аналитикам безопасности получить статические и динамические характеристики поведения в вредных и эффективных характеристиках. В отчете «Анализ» представлена ​​ключевая информация, такая как процессы, файлы, сети и системные вызовы.

Открытый исходный код поддерживает автоматический статический динамический анализ файлов ELF на платформах Linux X86/X64.

1. Основная информация: включая файл MD5, имя, тип, размер и SSDEEP.
2. Зависимость, поэтому информация: для динамически связанных файлов, вывода зависит от информации, так что информация.
3. Строка информация
4. Информация о заголовке эльфа, точка входа
5. Информация о IP и порте
6. Информация о сегменте эльфа, информация о разделе и хэш
7. Имя исходного файла

1. Динамическая операция запуска конечная информация: трудоемкая и т. Д. И т. Д.
2. Информация о процессе: Clone System Call, Execve Call, конец создания процесса и т. Д.
3. Информация об эксплуатации файлов: открыть, прочитать, изменять, удалить и другие операции ввода -вывода файлов
4. Информация о сети: TCP, UDP, HTTP, HTTPS, SSL и другая информация
5. Типичное злонамеренное поведение: самолет, самоомодирование и самозащитное и т. Д.
6. Информация API: getPID, System, DUP и другие вызовы функций LIBC
7. Информация о последовательности Syscall

Использование версии с открытым исходным кодом Hubble Linux для анализа вирусов требует сначала создания среды виртуальной машины для запуска вирусов. Никогда не запускайте и не анализируйте вирусы непосредственно в реальных условиях. Проект использует VirtualBox 5.1 для запуска Ubuntu 14.04 LTS в качестве аналитической среды по умолчанию.

Установите соответствующее программное обеспечение и получите исходный код, пожалуйста, запустите следующую команду как root в виртуальной машине:

root# cd ./util/update_image
root# bash update_image.sh

Используйте инструменты GIT, чтобы получить исходный код.

git clone https://github.com/Tencent/HaboMalHunter.git

Большая часть исходного кода - Python, и некоторые из C -кода должны быть скомпилированы и упакованы. Сначала загрузите код в виртуальную машину. Используйте корневую идентификацию и используйте команды в каталоге / root / while, как показано на рисунке:

cp -ra /media/sf_Source/ * .

Запустите команду, компиляцию и пакет, и выводите два файла, AnalyzeControl_1129.zip и test_1129.zip, как показано на рисунке:

bash package.sh

На этот раз мы использовали тестовый файл ./test/bin/read.32.elf для тестирования. Используйте следующую команду: вторая команда скопирует результаты анализа за пределами виртуальной машины и будет использоваться аналитиками для чтения.

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

В результатах анализа output.static является результатом статического анализа, выход. В то же время анализ выборки также может быть выполнен в сочетании с отображением результатов в системе анализа Хаббла (https://hobo.qq.com).

1. [Завершено] Хотите использовать летучие и известь для анализа памяти
2. Надеюсь добавить больше правил вируса (./util/yara/malware)
3. [Завершено] Я надеюсь преобразовать формат данных json в HTML -страницу для отображения

1. Для анализа вирусов, пожалуйста, выполните их в среде виртуальной машины и включите функцию Intel-VT в настройках BIOS. Этот проект не несет никакой ответственности за какие -либо проблемы безопасности программного обеспечения, вызванные запуском вирусов.
2. Рекомендуется использовать VirtualBox 5.1 или выше для запуска виртуальных машин.
3. Для файлов ELF, которые нельзя запустить, например, SO FILE, система анализа Hubble будет генерировать динамические журналы по умолчанию, но есть только сообщения об ошибках, которые нельзя запустить.