From 0a296e563a2acf03b64b304aeeeba9b087cce876 Mon Sep 17 00:00:00 2001 From: mether049 Date: Sun, 29 Mar 2020 20:31:06 +0900 Subject: [PATCH] Update malware-analysis_ref_and_memo.md --- malware-analysis_ref_and_memo.md | 8 ++++++++ 1 file changed, 8 insertions(+) diff --git a/malware-analysis_ref_and_memo.md b/malware-analysis_ref_and_memo.md index 56c7950..fe68e5e 100644 --- a/malware-analysis_ref_and_memo.md +++ b/malware-analysis_ref_and_memo.md @@ -234,6 +234,12 @@ $queryNameVersion="SELECT * FROM Win32_Process WHERE ParentProcessId=" + $procs. $child_process=Get-WmiObject -Query $queryNameVersion echo $child_process ``` +### Control Windows features +- **[blackbird](https://www.getblackbird.net/)** +- **[Windows Firewall Control](https://www.binisoft.org/wfc.php)** +- **[reclaimWindows10.ps1](https://gist.github.com/alirobe/7f3b34ad89a159e6daa1)** + - windowsにデフォルトインストールさている機能(onedrive,windows defender,skype,windows update,etc.)のon/offを切り替える + - マルウェアの通信を解析する際にノイズ通信が加わることを防止する ### Online Sandbox |name|site|remarks| @@ -295,6 +301,8 @@ Injecition/Hollowingされたプロセスの自動検出
> - etc.
- **[Bisonal Analysis Utils](https://www.nttsecurity.com/docs/librariesprovider3/resources/Japan/bisonal-utils)** - Bisonalに含まれる文字列のデコード,通信の復号,yaraルール +- **[aa-tools](https://github.com/JPCERTCC/aa-tools)** + - tscookieのcofingデコーダやvolatility pluginなど # PDF Analysis - **[pdfid.py](https://blog.didierstevens.com/programs/pdf-tools/)**