Habo Linux恶意软件分析系统HaboMalHunter

HaboMalHunter 详细介绍

HaboMalHunter 是哈勃分析系统的开源子项目,用于 Linux 平台下进行自动化分析、文件安全性检测的开源工具。使用该工具能够帮助安全分析人员简洁高效的获取恶意样本的静态和动态行为特征。分析结果中提供了进程、文件、网络和系统调用等关键信息。

功能清单

开源代码支持Linux x86/x64 平台上的ELF文件的自动化静态动态分析功能。

静态分析

  1. 基础信息:包括文件md5,名称,类型,大小和SSDEEP等信息。
  2. 依赖so信息:对于动态链接的文件,输出依赖的so信息。
  3. 字符串信息
  4. ELF头信息,入口点
  5. IP和端口信息
  6. ELF段信息,节信息和hash值
  7. 源文件名称

动态分析

  1. 动态运行启动结束信息:耗时等
  2. 进程信息:clone系统调用,execve调用,进程创建结束等
  3. 文件操作信息:打开,读取,修改,删除等文件IO操作
  4. 网络信息:TCP, UDP, HTTP, HTTPS, SSL等信息
  5. 典型恶意行为:自删除,自修改和自锁定等
  6. API信息:getpid, system, dup 等libc函数调用
  7. syscall 序列信息

作者:佚名

来源:51CTO

时间: 2025-01-27 20:57:07

Habo Linux恶意软件分析系统HaboMalHunter的相关文章

Bashware攻击:在Windows系统上运行Linux恶意软件

本文讲的是Bashware攻击:在Windows系统上运行Linux恶意软件, 近日,据外媒报道称,安全专家最新发现了一种惊人的攻击技术,名为"Bashware"攻击,利用该技术,攻击者可以隐藏恶意软件,即便是主流的安全产品(包括下一代防病毒软件.防勒索软件等)也无法检测出. 2016年3月,微软公司宣布将Windows Subsystem for Linux(简称WSL,指适用于Linux的Windows子系统)作为一项Beta特性添加至2016年8月发布的Windows 10周年更

LINUX内核分析第四周学习总结——扒开应用系统的三层皮(上)【转】

转自:http://www.cnblogs.com/lalacindy/p/5276874.html 张忻(原创作品转载请注明出处) <Linux内核分析>MOOC课程http://mooc.study.163.com/course/USTC-1000029000 一.知识概要 (一)用户态.内核态和中断处理过程 (二)系统调用概述 系统调用概述和系统调用的三层皮 (三)使用库函数API和C代码中嵌入汇编代码触发同一个系统调用 使用库函数API获取系统当前时间 C代码中嵌入汇编代码的方法(复习

全新物联网/Linux 恶意软件攻击数字视频录像机并组建僵尸网络

本文讲的是全新物联网/Linux 恶意软件攻击数字视频录像机并组建僵尸网络,Palo Alto Networks 威胁情报小组Unit 42近日发布报告,宣称发现物联网/Linux僵尸网络Tsunami的最新变种并命名为Amnesia.Amnesia僵尸网络允许攻击者利用未修补的远程代码执行针对数字视频录像机( DVR )设备的漏洞攻击,2016年3月这一漏洞就被发现并公布,这些DVR设备由TVT Digital 生产并 通过70多家合作伙伴分销至全球.根据我们的扫描数据 ,全球约有227000

全新物联网/Linux恶意软件攻击数字视频录像机并组建僵尸网络

Palo Alto Networks 威胁情报小组Unit 42近日发布报告,宣称发现物联网/Linux僵尸网络Tsunami的最新变种并命名为Amnesia.Amnesia僵尸网络允许攻击者利用未修补的远程代码执行针对数字视频录像机( DVR )设备的漏洞攻击,2016年3月这一漏洞就被发现并公布.这些DVR设备由TVT Digital 生产并 通过70多家合作伙伴分销至全球.根据我们的扫描数据 (见图1),全球约有227000台设备受此漏洞影响,主要覆盖国家和地区包括:台湾.美国.以色列.土

Palo Alto Networks披露:全新物联网/Linux 恶意软件

博文内容节选如下:  Palo Alto Networks 威胁情报小组Unit 42近日发布报告,宣称发现物联网/Linux僵尸网络Tsunami的最新变种并命名为Amnesia.Amnesia僵尸网络允许攻击者利用未修补的远程代码执行针对数字视频录像机( DVR )设备的漏洞攻击,2016年3月这一漏洞就被发现并公布(详见http://www.kerneronsec.com/2016/02/remote-code-execution-in-cctv-dvrs-of.html).这些DVR设备

Linux中的系统故障分析与排查

在处理Linux系统出现的各种故障时,故障的症状是最先发现的,而导致这以故障的原因才是最终排除故障的关键.熟悉Linux系统的日志管理,了解常见故障的分析与解决办法,将有助于管理员快速定位故障点."对症下药"及时解决各种系统问题. 1.日志分析及管理 日志文件是用于记录Linux系统中各种运行消息的文件,相当于Linux主机的"日记".不同的日志文件记载了不同类型的信息,如:Linux内核消息,用户登录记录,程序错误等.日志文件对于诊断和解决系统中的问题很有帮助,因

Linux内核分析(四)----进程管理|网络子系统|虚拟文件系统|驱动简介

原文:Linux内核分析(四)----进程管理|网络子系统|虚拟文件系统|驱动简介 Linux内核分析(四) 两天没有更新了,上次博文我们分析了linux的内存管理子系统,本来我不想对接下来的进程管理子系统.网络子系统.虚拟文件系统在这个阶段进行分析的,但是为了让大家对内核有个整体的把握,今天还是简单的介绍一下剩余的几个子系统,我们对这几个子系统的分析,只要了解其作用和部分内容即可,不必深究,等我们写上几个驱动,到时候按照驱动再来分析这几个子系统我们就清晰多了. 在http://www.cnbl

基于API调用的恶意软件分析技术

基于API的分析技术 根据上一个季度的统计数据发现,使用加壳器.加密器和保护器(这些都是用于对恶意软件进行混淆处理,以防止被系统或安全软件识别出来的方法)的恶意软件的数量正在日益增加.这些加壳器极大的提高了进行静态分析的难度,甚至有些时候根本就无法对其进行静态分析.随着越来多的恶意软越件作者开始采用这些保护性措施,安全分析人员对于恶意软件分析替代技术的兴趣也越来越浓. 其中一种可行的替代方法就是,对代码中通知系统执行某些操作的API调用或命令进行安全检测.这种方法的好处是,不必对经过加壳处理的软

Linux内核分析(一)---linux体系简介|内核源码简介|内核配置编译安装

原文:Linux内核分析(一)---linux体系简介|内核源码简介|内核配置编译安装 Linux内核分析(一) 从本篇博文开始我将对linux内核进行学习和分析,整个过程必将十分艰辛,但我会坚持到底,同时在博文中如果那些地方有问题还请各位大神为我讲解. 今天我们会分析到以下内容: 1.      Linux体系结构简介 2.      Linux内核源码简介 3.      Linux内核配置.编译.安装   l  Linux体系结构简介 1.       Linux体系结构(linux系统构