whohk恶意代码检测工具

            whohk恶意代码检测工具

whohk一款强大得linux应急响应辅助工具,webshell检测和恶意软件检测模块采用基于yara规则得静态检测
1.利用yarGen自动提取样本特征
yargen是一个自动化提取yara规则的工具,可以提取strings和opcodes特征,其原理是先解析出样本集中的共同的字符串,然后经过白名单库的过滤,最后通过启发式、机器学习等方式筛选出最优的yara规则,项目地址:https://github.com/Neo23x0/yarGen。
我们可以从日常应急中收集恶意样本,还可以通过蜜罐、威胁情报平台等渠道获取恶意样本,然后根据特征或者个人的习惯进行分类存放。

python3 yarGen.py -m /Users/ssr/说书人/python/小工具/yara扫描/webshell
运行前先更新下规则库。
2.利用whohk进行扫描
https://github.com/heikanet/whohk