Hfinger:一款针对恶意软件HTTP请求的指纹识别工具

news2024/12/28 6:04:41

关于Hfinger

Hfinger是一款功能强大的HTTP请求指纹识别工具,该工具使用纯Python开发,基于Tshark实现其功能,可以帮助广大研究人员对恶意软件的 HTTP 请求进行指纹识别。

该工具的主要目标是提供恶意软件请求的唯一表示(指纹),以帮助识别。这里的“唯一”指的是每个指纹仅出现在特定的恶意软件家族中,但一个家族可以拥有多个指纹。Hfinger通过简化请求的形式来表示请求,但仍保持人类可读性,而不是打印整个请求。

Hfinger不仅可用于手动恶意软件分析,还可用于沙盒系统或SIEM(安全信息与事件管理)中。生成的指纹有助于对请求进行分组,精确定位到特定恶意软件家族,识别某个家族的不同操作,或发现其他安全系统忽略的未知恶意请求,而这些请求具有相同的指纹。

运行机制

本项目的基本假设是,不同恶意软件家族的HTTP请求在某种程度上是独特的,因此可以通过指纹提取来提供某种识别方式。Hfinger保留了某些Header结构和值的信息,以便进一步分析。

在对恶意软件的HTTP请求和Header进行分析后,我们识别出了一些最具辨识度的请求部分,包括:

1、请求方法

2、协议版本

3、Header顺序

4、常见Header的值

5、Payload长度、熵值及是否包含非ASCII字符

此外,还考虑了请求URL的一些标准特性。所有这些部分被转换为一组特征,这些特征会被转化为可变长度的表示形式,即实际的指纹。根据报告模式,不同的特征被用于指纹化请求。

工具要求

Python>=3.3

Tshark>=2.2.0

fnvhash>=0.1.0

python-magic>=0.4.18

工具安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

源码安装

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/CERT-Polska/hfinger.git

然后切换到项目目录中,使用pip命令和项目提供的requirements.txt安装该工具所需的其他依赖组件:

cd hfinger

pip install -r requirements.txt

PyPI安装

pip install hfinger

工具使用

安装完成后,我们可以直接在命令行中使用“hfinger”命令调用该工具,或通过“python -m hfinger”命令以Python模块的形式使用Hfinger,例如:

foo@bar:~$ hfinger -f /tmp/test.pcap

[{"epoch_time": "1614098832.205385000", "ip_src": "127.0.0.1", "ip_dst": "127.0.0.1", "port_src": "53664", "port_dst": "8080", "fingerprint": "2|3|1|php|0.6|PO|1|us-ag,ac,ac-en,ho,co,co-ty,co-le|us-ag:f452d7a9/ac:as-as/ac-en:id/co:Ke-Al/co-ty:te-pl|A|4|1.4"}]

工具帮助信息

usage: hfinger [-h] (-f FILE | -d DIR) [-o output_path] [-m {0,1,2,3,4}] [-v]

               [-l LOGFILE]

 

Hfinger - fingerprinting malware HTTP requests stored in pcap files

 

optional arguments:

-h, --help:显示此帮助信息并退出;

-f FILE, --file FILE:读取单个pcap文件;

-d DIR, --directory DIR:从目录DIR中读取pcap文件;

-o output_path, --output-path output_path:输出目录的路径;

-m {0,1,2,3,4}, --mode {0,1,2,3,4}:指纹报告模式;

0 - 与模式2生成的指纹和冲突数量相似,但使用的特征更少,

1 - 展示所有设计的特征,但比模式0、2和4稍多冲突,

2 - 最优模式(默认模式),

3 - 生成最少指纹,但冲突最多,

4 - 指纹熵值最高,但生成的指纹比模式0-2稍多

-v, --verbose:报告请求中的非标准值信息;(如非ASCII字符、无CRLF标记、配置列表中不存在的值)。如果不使用--logfile (-l),则输出到标准错误;

-l LOGFILE, --logfile LOGFILE:在详细模式下的输出日志文件,启用时隐含使用-v或--verbose选项;

工具输出

您必须提供 pcap 文件的路径 (-f),或包含 pcap 文件的目录 (-d)。输出为 JSON 格式。它将使用源文件的名称打印到标准输出或提供的目录 (-o):

hfinger -f example.pcap -o /tmp/pcap

输出内容将被保存至:

/tmp/pcap/example.pcap.json

在Python应用程序中使用Hfinger

from hfinger.analysis import hfinger_analyze

 

pcap_path = "SPECIFY_PCAP_PATH_HERE"

reporting_mode = 4

print(hfinger_analyze(pcap_path, reporting_mode))

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可协议。

项目地址

Hfinger:【GitHub传送门】

参考资料

Entropy | Free Full-Text | Hfinger: Malware HTTP Request Fingerprinting

https://lcamtuf.coredump.cx/p0f3/

https://github.com/0x4D31/fatt

https://github.com/cisco/mercury

venv — Creation of virtual environments — Python 3.12.5 documentation

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2119012.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

“CSS 定位”如何工作?(补充)——WEB开发系列34

CSS定位是一个非常重要的布局工具,它允许我们精确地控制元素的位置,从而创建复杂的布局效果。定位允许你从正常的文档流布局中取出元素,并使它们具有不同的行为,例如放在另一个元素的上面,或者始终保持在浏览器视窗内的…

Java代码审计篇 | ofcms系统审计思路讲解 - 篇2 | SQL注入漏洞审计

文章目录 Java代码审计篇 | ofcms系统审计思路讲解 - 篇2 | SQL注入漏洞审计1. 前言2. SQL注入代码审计【有1处】1)全局搜索Statement关键字,发现有几处,不过大多都是preparStatement预编译方式执行sql语句。2)点进第一个看看3&am…

matlab数据批量保存为excel,文件名,行和列的名称设置

Excel文件内数据保存结果如下: Excel文件保存结果如下: 代码如下: clear;clc; for jjjj1:10 %这个可以改 jname(jjjj-1)*10; %文件名中变数 这是EXCEL文件名字的一部分 根据自己需要改 jkkkk_num2str(jname); for …

物联网之Arduino开发环境的下载与安装、ESP32开发环境的下载与安装、常见环境配置问题的解决办法、COM端口不可用的解决方法

MENU 前言下载和安装Arduino安装ESP32开发环境常见问题JSON下载失败和下载速度慢配置解释器没有发现端口检测到端口,但是有警告图标,端口无法使用 前言 想玩开发板必须得写代码,要不然Arduino不知道怎么运行,Arduino的开发语言是C…

碳产品出口业务管理难?外贸软件ERP全流程管控降本增效

随着全球环保意识的增强和工业生产的需要,对碳产品的需求持续增长。特别是在新能源、环保、航空航天等高科技领域,碳产品的需求量更大。中国作为全球最大的碳产品生产国之一,拥有完整的产业链和丰富的生产经验,具备明显的产业优势…

【C++11 ——— 右值引用和移动语义】

C11 ——— 右值引用和移动语义 右值引用和移动语义左值引用和右值引用左值引用与右值引用比较右值引用使用场景和意义左值引用的使用场景:左值引用的短板:左值引用中编译器的优化右值引用和移动语义右值引用引用左值右值引用的其他使用场景 完美转发万能…

苹果系统安装的QT程序无法显示窗口问题的解决办法

1、问题的提出 苹果系统是可以安装QT(包含QT带来的集成开发环境QTCreator)的。但是,QT安装完毕跑运行测试程序的时候,却会发现窗口无法显示。 右下角的应用窗口程序无法打开。 2、问题的解决 其实原因就在警告之中: …

为单身人士定制的幸福计划:相亲交友系统

在忙碌的都市生活中,单身人士往往因为工作繁忙、社交圈有限等原因,难以遇到合适的伴侣。相亲交友系统,作为现代科技与人际关系结合的产物,为单身人士提供了一个全新的解决方案。本文将从客户角度出发,探讨相亲交友系统…

【计算机网络】UDP TCP介绍

UDP & TCP介绍 UDP报文格式报文内容介绍端口号报文长度校验和载荷 TCP报文格式初步了解TCP机制确认应答超时重传连接管理滑动窗口流量控制拥塞控制紧急传输数据推送延时应答捎带应答面向字节流异常处理心跳机制 UDP 和 TCP 的区别 UDP 报文格式 对于网络协议, 本质上就是…

软件工程技术专业软件开发综合实训室解决方案

一、行业背景与前景分析 1.1 软件工程技术专业就业前景 近年来,中国的软件行业取得了显著的成就,即便在全球经济受到新冠疫情冲击的情况下,仍保持了强劲的增长势头。据工业和信息化部发布的数据,2021年我国软件和信息技术服务业…

mysqldump 迁移至MySQL到Oceanbase-CE V4 和旁路导入语法的学习

闲着没事干,测试着玩。 一.数据库环境 mysql: oceanbase: mysql下的表: 二、mysqldump迁移数据到OceanBase # 通过mysqldump导出数据 mysqldump -h 192.168.80.16 -uroot -P3306 -p --databases test > toob.sql #传输脚本到o…

DDR3 SDRAM操作流程

天空灰暗到一定程度,星晨就会熠熠生辉。 ----一起加油 DDR3 SDRAM的相关操作主要包括上电(Power on)、复位(Reset procedure)、初始化(Initialization)、ZQ对齐(ZQ calibration)、模式寄存器配置(MRS)、自刷新(Selfrefresh)、刷新(Refreshing)、激活(Activating)、读…

线上VR虚拟展厅里可以展示3D模型么?

虚拟展厅里可以展示3D模型。 虚拟展厅利用数字技术和三维建模技术创建一个虚拟的展览环境,使得参观者可以通过计算机、智能手机、平板电脑等设备远程参观展览。在这个过程中,3D模型作为虚拟展厅的重要组成部分,扮演着至关重要的角色。 在虚…

Google AI 概述——喜欢的三点和不喜欢的两点

如果你在谷歌上搜索某些内容,你可能注意到谷歌AI概览已经回归。不过,对此功能的实用性我仍持观望态度。 对于那些还没有使用过的人来说,谷歌AI概览基本上是从各个网站收集信息并将其整合在搜索结果页面的顶部。理论上,这应该使用…

opencv将灰度图转为彩色图片

文章目录 背景灰度图优势opencv读取灰度图彩色转灰度算法需求 方法测试代码 背景 在图像处理中通常需要将图片转为灰度图 灰度图,也称为灰度图像或黑白图像,是一种只包含亮度信息而不包含颜色信息的图像。在灰度图中,每个像素的亮度级别通常…

【STL中容器汇总】map、list、vector等详解

容器学习分享 1、STL简介1.1、STL六大组件 2、vector容器2.1、vector 基本操作2.2、vector容器示例2.3、vector容器存放自定义数据类型示例2.3、vector嵌套vector示例 3、list 容器3.1使用示例3.2、list容器基本函数 4、map容器4.1、map函数原型4.2、map函数示例 1、STL简介 ST…

pdf文件怎么编辑?7大常用的pdf在线编辑技巧,免费好用!

编辑pdf文件通常涉及对文本、图片及其他内容的添加、删除或修改。无论您希望清除过时的信息,还是想为pdf文件增添一些补充材料,掌握几种简单有效的编辑方法都是非常重要的。因此,本文将为大家介绍7大常用的pdf在线编辑技巧,详细解…

Java学习Day40:大战亢金龙!(spring框架之AOP)

AOP(面向切面变成):不改变原有代码的情况下,对代码进行功能添加 1.一些概念 抽取出的方法:通知 原始方法:成为连接点(可以是程序执行中的任意位置),对应原始的一个个方…

Qt篇——Qt在msvc编译下提示“C2001:常量中有换行符“的错误

在pro文件中添加以下配置即可: msvc{QMAKE_CFLAGS /utf-8QMAKE_CXXFLAGS /utf-8 }

哈希表、算法

哈希表 hash: 在编程和数据结构中,"hash" 通常指的是哈希函数,它是一种算法,用于将数据(通常是字符 串)映射到一个固定大小的数字(哈希值)。哈希函数在哈希表中尤为重要…