内容简介:Malcom这款工具可分析系统内的网络通信流量,并以图形化的形式将流量分析情况提供给用户,分析结果中将包含已知的恶意软件源,而这些信息将有助于安全研究专家对特定的恶意软件进行分析。Malcom可以帮助我们:Malcom的目标是通过图形化的网络流量信息来帮助研究人员更加轻松地分析恶意软件,并提供更加智能化的情报信息。
Malcom这款 工具 可分析系统内的网络通信流量,并以图形化的形式将流量分析情况提供给用户,分析结果中将包含已知的恶意软件源,而这些信息将有助于安全研究专家对特定的恶意软件进行分析。
Malcom能做什么?
Malcom可以帮助我们:
1、 检测中央命令&控制服务器; 2、 识别点对点网络; 3、 识别DNS基础设施; 4、 快速判断网络流量“恶意性”;
Malcom的目标是通过图形化的网络流量信息来帮助研究人员更加轻松地分析恶意软件,并提供更加智能化的情报信息。
下面给出的是主机tomchop.me的分析样本图:
数据集查看(可过滤IP)
工具安装
Malcom采用 Python 开发,并提供了大部分必要的代码库,你可以直接在任何平台上运行Malcom。我强烈建议大家使用Python虚拟环境:virtualenv,这样就不会影响系统库了。
下列命令以在Ubuntu server 14.04 LTS平台上进行了测试:
-安装git、python、libevent库、 mongodb 、 redis 以及其他依赖:
$ sudo apt-get install build-essential gitpython-dev libevent-dev mongodb libxml2-dev libxslt-dev zlib1g-dev redis-serverlibffi-dev libssl-dev python-virtualenv
-克隆Git库:
$ git clone https://github.com/tomchop/malcom.git malcom
创建并激活你的virtualenv:
$ cd malcom $ virtualenv env-malcom $ source env-malcom/bin/activate
安装scapy:
$ cd ..
$ wget http://www.secdev.org/projects/scapy/files/scapy-latest.tar.gz
$ tar xvzf scapy-latest.tar.gz
$ cd scapy-2.1.0
$ python setup.py install
在virtualenv环境下,安装requirements.txt文件中的必要Python包:
$ cd ../malcom $ pip install -r requirements.txt
如果你需要IP地理位置信息,你可以下载Maxmind数据库并把文件提取到malcom/Malcom/auxiliary/geoIP目录下。
Maxmind数据库免费下载地址:【 传送门 】。
你可以使用./malcom.py来启动Web服务器,并使用./malcom.py –help监听接口和端口。这里需要将malcom.conf.example文件拷贝为malcom.conf并运行下列命令:
./malcom.py -c malcom.conf
配置选项
数据库
默认配置下,Malcom会尝试连接本地mongodb实例,并创建自己的数据库,名叫malcom。
设置Malcom数据库名称
默认配置下,Malcom的数据库默认名为malcom。你可以通过编辑malcom.conf文件并设置database标签下的name属性:
[database] ... name = my_malcom_database ...
远程数据库
你可以在主机my.mongo.server上使用单独的数据库:
[database] ... hosts = my.mongo.server ...
你还可以指定mongodb端口:
[database] ... hosts = localhost:27008 ...
使用认证
你可以配置mongodb实例来启用认证连接,你可以自由设置用户名和密码:
[database] ... username = my_user password = change_me ...
如果你想连接其他数据库的话,可以设置authentication_database参数:
[database] ... authentication_database =some_other_database ...
Docker实例
你可以直接从公共 docker 库中获取Docker镜像:
$ sudo docker pull tomchop/malcom-automatic $ sudo docker run -p 8080:8080 -d --namemalcom tomchop/malcom-automatic
接下来,你就可以直接在浏览器中访问 http://<docker_host>:8080/ 来使用了。
项目地址
Malcom:【 GitHub传送门 】
*参考来源: malcom ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
以上所述就是小编给大家介绍的《Malcom:一款功能强大的图形化恶意软件通信分析工具》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- Inhale:一款功能强大的恶意软件分析与分类工具
- BlobRunner:一款功能强大的恶意软件Shellcode调试与分析工具
- 一款功能强大的 PHP 开发框架
- XRay - 一款功能强大的安全评估工具
- Lazydocker:一款功能强大的Docker管理套件
- THRecon:功能强大的网络威胁追踪侦察工具套件
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Lighttpd源码分析
高群凯 / 机械工业出版社 / 2010-3 / 59.00元
本书主要针对lighttpd源码进行了深度剖析。主要内容包括:lighttpd介绍与分析准备工作、lighttpd网络服务主模型、lighttpd数据结构、伸展树、日志系统、文件状态缓存器、配置信息加载、i/o多路复用技术模型、插件链、网络请求服务响应流程、请求响应数据快速传输方式,以及基本插件模块。本书针对的lighttpd项目版本为稳定版本1.4.20。 本书适合使用lighttpd的人......一起来看看 《Lighttpd源码分析》 这本书的介绍吧!