whohk恶意代码检测工具
<pre><code> whohk恶意代码检测工具</code></pre>
<p>whohk一款强大得linux应急响应辅助工具,webshell检测和恶意软件检测模块采用基于yara规则得静态检测
<strong>1.利用yarGen自动提取样本特征</strong>
yargen是一个自动化提取yara规则的工具,可以提取strings和opcodes特征,其原理是先解析出样本集中的共同的字符串,然后经过白名单库的过滤,最后通过启发式、机器学习等方式筛选出最优的yara规则,项目地址:<a href="https://github.com/Neo23x0/yarGen">https://github.com/Neo23x0/yarGen</a>。
我们可以从日常应急中收集恶意样本,还可以通过蜜罐、威胁情报平台等渠道获取恶意样本,然后根据特征或者个人的习惯进行分类存放。</p>
<p>python3 yarGen.py -m /Users/ssr/说书人/python/小工具/yara扫描/webshell
运行前先更新下规则库。
<strong>2.利用whohk进行扫描</strong>
<a href="https://github.com/heikanet/whohk">https://github.com/heikanet/whohk</a></p>