mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-tech_ref_and_memo.md
This commit is contained in:
parent
d0053a1702
commit
067fa96271
@ -316,6 +316,7 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
|
||||
## Packing
|
||||
- 実行形式を保持したまま,実行ファイルを圧縮
|
||||
- パッキング後のプログラムには展開ルーチン,圧縮されたオリジナルコードが含まれる
|
||||
- アンパック後のペイロードは,ProcessHollowing後のプロセス上でのみ実行されるケースも多い
|
||||
- オリジナルコードを静的解析するためにはアンパッキングが必要
|
||||
- 特徴
|
||||
- 特徴的なセクション名
|
||||
@ -340,6 +341,10 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
|
||||
- Stolen Bytesを利用
|
||||
- tELock
|
||||
- Import Redirectionを利用
|
||||
- Themida
|
||||
- 商用パッカー
|
||||
- VMProtect
|
||||
- 商用パッカー
|
||||
- [CypherIT](https://cypherit.org/)
|
||||
- オンラインサービスでパッキング可能(Packing as a Searvice)
|
||||
- リバースエンジニアリングを回避するための正規のサービスとして販売されている
|
||||
@ -435,6 +440,14 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
|
||||
dig -t txt o-o.myaddr.l.google.com @8.8.8.8 # TXT record
|
||||
dig whoami.akamai.net @ns1-1.akamaitech.net
|
||||
```
|
||||
|
||||
# Delete Data
|
||||
## Delete Volume Shadow
|
||||
- ランサムウェアはバックアップからの復元を防ぐためにvolume shadowを削除することが多い
|
||||
```
|
||||
vssadmin Delete Shadows /All /Quiet
|
||||
```
|
||||
|
||||
# maldoc
|
||||
## Obfuscation/Encryption
|
||||
- ドキュメントテキスト,スプレッドシートのセル,ファイルプロパティ,VBA forms,etc.の中にデータを隠す
|
||||
|
Loading…
Reference in New Issue
Block a user