HaboMalHunter is a sub-project of Habo Malware Analysis System (https://habo.qq.com), which can be used for automated malware analysis and security assessment on the Linux system.
(中文版本请参看这里)
腾讯开源激励计划 鼓励开发者的参与和贡献,期待你的加入。
HaboMalHunter is a sub-project of Habo Malware Analysis System (https://habo.qq.com), which can be used for automated malware analysis and security assessment on the Linux system. The tool help security analyst extracting the static and dynamic features from malware effectively and efficiently. The generated report provides significant information about process, file I/O, network and system calls.
The tool can be used for the static and dynamic analysis of ELF files on the Linux x86/x64 platform.
The tool will run on the VirtualBox 5.1 with Ubuntu 14.04 LTS.
in order to install thrid party software, please execute the following command after obtaining the code:
root# cd ./util/update_image
root# bash update_image.sh
git clone https://github.com/Tencent/HaboMalHunter.git
Firstly, please upload the source code into the VM. Execute the following command with root permision under the /root directory.
cp -ra /media/sf_Source/* .
The command will compile and package the source code, and then will generate two zip files.
bash package.sh
using ./test/bin/read.32.elf
to make a test.
The second command will copy report and log outside the VM.
python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/
Among the result, output.static
is static analysis result, output.dynamic
is dynamic analysis result, and system.log
is runtime log. Users can also upload samples to the Habo Malware Analysis System (https://habo.qq.com) to get a brief report.
HaboMalHunter是哈勃分析系统 (https://habo.qq.com) 的开源子项目,用于Linux平台下进行自动化分析、文件安全性检测的开源工具。使用该工具能够帮助安全分析人员简洁高效的获取恶意样本的静态和动态行为特征。分析报告中提供了进程、文件、网络和系统调用等关键信息。
开源代码支持Linux x86/x64 平台上的ELF文件的自动化静态动态分析功能。
使用哈勃Linux开源版进行病毒分析,需要首先制作用于运行病毒的虚拟机环境。切勿直接在真实环境下运行和分析病毒。项目默认使用VirtualBox 5.1 运行Ubuntu 14.04 LTS 作为分析环境。
安装相关的软件,获取源代码之后,请在虚拟机内以root身份运行如下命令:
root# cd ./util/update_image
root# bash update_image.sh
使用git工具获取源代码。
git clone https://github.com/Tencent/HaboMalHunter.git
大部分源代码是python, 有一部分c代码需要进行编译和打包。 首先将代码上传到虚拟机中。 使用root身份,在/root/ 目录下使用命令,如图:
cp -ra /media/sf_Source/* .
运行命令,进行编译和打包,会输出AnalyzeControl_1129.zip 和test_1129.zip 两个文件, 如图:
bash package.sh
本次使用测试文件 ./test/bin/read.32.elf 进行测试。使用如下命令: 其中第二条命令会将分析结果拷贝到虚拟机外,用于分析人员阅读。
python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/
分析结果中,output.static 是静态分析结果,output.dynamic 是动态分析结果,system.log是运行时的日志。同时也可以结合哈勃分析系统 (https://habo.qq.com) 中的结果展示进行样本分析。