From 067fa962714560e1cb90d9355b0f6ca7a1880ee3 Mon Sep 17 00:00:00 2001 From: mether049 Date: Sat, 18 Apr 2020 23:54:12 +0900 Subject: [PATCH] Update malware-tech_ref_and_memo.md --- malware-tech_ref_and_memo.md | 13 +++++++++++++ 1 file changed, 13 insertions(+) diff --git a/malware-tech_ref_and_memo.md b/malware-tech_ref_and_memo.md index 7164374..2190fc9 100644 --- a/malware-tech_ref_and_memo.md +++ b/malware-tech_ref_and_memo.md @@ -316,6 +316,7 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert ## Packing - 実行形式を保持したまま,実行ファイルを圧縮 - パッキング後のプログラムには展開ルーチン,圧縮されたオリジナルコードが含まれる +- アンパック後のペイロードは,ProcessHollowing後のプロセス上でのみ実行されるケースも多い - オリジナルコードを静的解析するためにはアンパッキングが必要 - 特徴 - 特徴的なセクション名 @@ -340,6 +341,10 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert - Stolen Bytesを利用 - tELock - Import Redirectionを利用 + - Themida + - 商用パッカー + - VMProtect + - 商用パッカー - [CypherIT](https://cypherit.org/) - オンラインサービスでパッキング可能(Packing as a Searvice) - リバースエンジニアリングを回避するための正規のサービスとして販売されている @@ -435,6 +440,14 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert dig -t txt o-o.myaddr.l.google.com @8.8.8.8 # TXT record dig whoami.akamai.net @ns1-1.akamaitech.net ``` + +# Delete Data +## Delete Volume Shadow +- ランサムウェアはバックアップからの復元を防ぐためにvolume shadowを削除することが多い +``` +vssadmin Delete Shadows /All /Quiet +``` + # maldoc ## Obfuscation/Encryption - ドキュメントテキスト,スプレッドシートのセル,ファイルプロパティ,VBA forms,etc.の中にデータを隠す