diff --git a/malware-analysis_ref_and_memo.md b/malware-analysis_ref_and_memo.md index 56c7950..fe68e5e 100644 --- a/malware-analysis_ref_and_memo.md +++ b/malware-analysis_ref_and_memo.md @@ -234,6 +234,12 @@ $queryNameVersion="SELECT * FROM Win32_Process WHERE ParentProcessId=" + $procs. $child_process=Get-WmiObject -Query $queryNameVersion echo $child_process ``` +### Control Windows features +- **[blackbird](https://www.getblackbird.net/)** +- **[Windows Firewall Control](https://www.binisoft.org/wfc.php)** +- **[reclaimWindows10.ps1](https://gist.github.com/alirobe/7f3b34ad89a159e6daa1)** + - windowsにデフォルトインストールさている機能(onedrive,windows defender,skype,windows update,etc.)のon/offを切り替える + - マルウェアの通信を解析する際にノイズ通信が加わることを防止する ### Online Sandbox |name|site|remarks| @@ -295,6 +301,8 @@ Injecition/Hollowingされたプロセスの自動検出
> - etc.
- **[Bisonal Analysis Utils](https://www.nttsecurity.com/docs/librariesprovider3/resources/Japan/bisonal-utils)** - Bisonalに含まれる文字列のデコード,通信の復号,yaraルール +- **[aa-tools](https://github.com/JPCERTCC/aa-tools)** + - tscookieのcofingデコーダやvolatility pluginなど # PDF Analysis - **[pdfid.py](https://blog.didierstevens.com/programs/pdf-tools/)**