Home
HaboMalHunter是哈勃分析系统 (https://habo.qq.com) 的开源子项目,用于Linux平台下进行自动化分析、文件安全性检测的开源工具。使用该工具能够帮助安全分析人员简洁高效的获取恶意样本的静态和动态行为特征。分析报告中提供了进程、文件、网络和系统调用等关键信息,并且工具使用了内存分析等高级分析技术用于对抗Rootkit。
秉承着Linux开源精神,HaboMalHunter在github.com上隆重开源了。本文将介绍哈勃分析系统Linux开源版的情况,欢迎大家参与这份开源的使命。
项目地址:https://github.com/Tencent/HaboMalHunter
哈勃分析系统 (https://habo.qq.com) 是一套基于行为分析进行文件安全检测的系统,根据文件在沙箱中运行后的各类动态行为,自动对文件进行安全检测,对于需要人工分析文件行为的场合也大有帮助。官网支持多种平台上的文件格式(例如PE, APK, ELF, JS, VBS 和 Zip, RAR等压缩格式), 目前开源代码包括了哈勃分析系统中针对Linux平台上的恶意样本自动化分析功能。
用户在上传哈勃分析系统之后,能够得到一份文件运行的报告,包括程序的基本信息,进程行为,文件访问行为和网络行为。同时根据运行时暴露出的行为,哈勃分析系统能够对文件进行检测评级,提示用户是否有风险。
借助哈勃分析系统强大的分析能力,我们坚持战斗在反病毒领域第一线,捍卫着用户的信息安全。例如在针对公司办公网的邮件APT攻击中,哈勃系统将邮件中的高危宏病毒分析执行,判断出高危操作。
哈勃分析系统网站可以为用户提供恶意软件的动态执行信息,但是对于专业的病毒分析人员,这些表象的信息还不足以满足他们的技术需求。所以团队决定将哈勃Linux 版的源代码进行开源,这一举措能够让广大的安全从业人员,从代码层面了解病毒分析的过程,同时也希望汲取社区的力量,将这份反病毒事业做大做强。本节将具体介绍如何使用哈勃Linux开源版进行ELF病毒分析。
使用哈勃Linux开源版进行病毒分析,需要首先制作用于运行病毒的虚拟机环境。切勿直接在真实环境下运行和分析病毒。项目默认使用VirtualBox 5.1 运行Ubuntu 14.04 LTS 作为分析环境。
使用git工具获取源代码。
git clone https://github.com/Tencent/HaboMalHunter.git大部分源代码是python, 有一部分c代码需要进行编译和打包。 首先将代码上传到虚拟机中。 使用root身份,在/root/ 目录下使用命令,如图:
cp -ra /media/sf_Source/* .
运行命令,进行编译和打包,会输出AnalyzeControl_1129.zip 和test_1129.zip 两个文件, 如图:
bash package.sh