whohk恶意代码检测工具

<pre><code> whohk恶意代码检测工具</code></pre> <p>whohk一款强大得linux应急响应辅助工具，webshell检测和恶意软件检测模块采用基于yara规则得静态检测 <strong>1.利用yarGen自动提取样本特征</strong> yargen是一个自动化提取yara规则的工具，可以提取strings和opcodes特征，其原理是先解析出样本集中的共同的字符串，然后经过白名单库的过滤，最后通过启发式、机器学习等方式筛选出最优的yara规则，项目地址：<a href="https://github.com/Neo23x0/yarGen">https://github.com/Neo23x0/yarGen</a>。 我们可以从日常应急中收集恶意样本，还可以通过蜜罐、威胁情报平台等渠道获取恶意样本，然后根据特征或者个人的习惯进行分类存放。</p> <p>python3 yarGen.py -m /Users/ssr/说书人/python/小工具/yara扫描/webshell 运行前先更新下规则库。 <strong>2.利用whohk进行扫描</strong> <a href="https://github.com/heikanet/whohk">https://github.com/heikanet/whohk</a></p>