1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00

Update malware-tech_ref_and_memo.md

This commit is contained in:
mether049 2020-04-18 23:54:12 +09:00 committed by GitHub
parent d0053a1702
commit 067fa96271
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -316,6 +316,7 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
## Packing
- 実行形式を保持したまま,実行ファイルを圧縮
- パッキング後のプログラムには展開ルーチン,圧縮されたオリジナルコードが含まれる
- アンパック後のペイロードはProcessHollowing後のプロセス上でのみ実行されるケースも多い
- オリジナルコードを静的解析するためにはアンパッキングが必要
- 特徴
- 特徴的なセクション名
@ -340,6 +341,10 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
- Stolen Bytesを利用
- tELock
- Import Redirectionを利用
- Themida
- 商用パッカー
- VMProtect
- 商用パッカー
- [CypherIT](https://cypherit.org/)
- オンラインサービスでパッキング可能(Packing as a Searvice)
- リバースエンジニアリングを回避するための正規のサービスとして販売されている
@ -435,6 +440,14 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
dig -t txt o-o.myaddr.l.google.com @8.8.8.8 # TXT record
dig whoami.akamai.net @ns1-1.akamaitech.net
```
# Delete Data
## Delete Volume Shadow
- ランサムウェアはバックアップからの復元を防ぐためにvolume shadowを削除することが多い
```
vssadmin Delete Shadows /All /Quiet
```
# maldoc
## Obfuscation/Encryption
- ドキュメントテキストスプレッドシートのセルファイルプロパティVBA forms,etc.の中にデータを隠す