Update malware-tech_ref_and_memo.md

malware-tech_ref_and_memo.md

@@ -316,6 +316,7 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
 ## Packing
 - 実行形式を保持したまま，実行ファイルを圧縮
     - パッキング後のプログラムには展開ルーチン，圧縮されたオリジナルコードが含まれる
+- アンパック後のペイロードは，ProcessHollowing後のプロセス上でのみ実行されるケースも多い
 - オリジナルコードを静的解析するためにはアンパッキングが必要
 - 特徴
     - 特徴的なセクション名
@@ -340,6 +341,10 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
         - Stolen Bytesを利用
     - tELock
         - Import Redirectionを利用
+    - Themida
+        - 商用パッカー
+    - VMProtect
+        - 商用パッカー
     - [CypherIT](https://cypherit.org/)
       - オンラインサービスでパッキング可能(Packing as a Searvice)
         - リバースエンジニアリングを回避するための正規のサービスとして販売されている
@@ -435,6 +440,14 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
       dig  -t txt o-o.myaddr.l.google.com @8.8.8.8 # TXT record
       dig whoami.akamai.net @ns1-1.akamaitech.net
       ```
+
+# Delete Data
+## Delete Volume Shadow
+- ランサムウェアはバックアップからの復元を防ぐためにvolume shadowを削除することが多い
+```
+vssadmin Delete Shadows /All /Quiet
+```
+
 # maldoc
 ## Obfuscation/Encryption
 - ドキュメントテキスト，スプレッドシートのセル，ファイルプロパティ，VBA forms,etc.の中にデータを隠す