whohk恶意代码检测工具

            whohk恶意代码检测工具

whohk一款强大得linux应急响应辅助工具，webshell检测和恶意软件检测模块采用基于yara规则得静态检测 1.利用yarGen自动提取样本特征 yargen是一个自动化提取yara规则的工具，可以提取strings和opcodes特征，其原理是先解析出样本集中的共同的字符串，然后经过白名单库的过滤，最后通过启发式、机器学习等方式筛选出最优的yara规则，项目地址：https://github.com/Neo23x0/yarGen。 我们可以从日常应急中收集恶意样本，还可以通过蜜罐、威胁情报平台等渠道获取恶意样本，然后根据特征或者个人的习惯进行分类存放。

python3 yarGen.py -m /Users/ssr/说书人/python/小工具/yara扫描/webshell 运行前先更新下规则库。 2.利用whohk进行扫描 https://github.com/heikanet/whohk