HaboMalHunter **** 是哈勃分析系统的开源子项目,用于 Linux 平台下进行自动化分析、文件安全性检测的开源工具。使用该工具能够帮助安全分析人员简洁高效的获取恶意样本的静态和动态行为特征。分析结果中提供了进程、文件、网络和系统调用等关键信息。
开源代码支持Linux x86/x64 平台上的ELF文件的自动化静态动态分析功能。
基础信息:包括文件md5,名称,类型,大小和SSDEEP等信息。
依赖so信息:对于动态链接的文件,输出依赖的so信息。
字符串信息
ELF头信息,入口点
IP和端口信息
ELF段信息,节信息和hash值
源文件名称
动态运行启动结束信息:耗时等
进程信息:clone系统调用,execve调用,进程创建结束等
文件操作信息:打开,读取,修改,删除等文件IO操作
网络信息:TCP, UDP, HTTP, HTTPS, SSL等信息
典型恶意行为:自删除,自修改和自锁定等
API信息:getpid, system, dup 等libc函数调用
syscall 序列信息