diff --git a/malware-analysis_ref_and_memo.md b/malware-analysis_ref_and_memo.md index ebe203a..3996feb 100644 --- a/malware-analysis_ref_and_memo.md +++ b/malware-analysis_ref_and_memo.md @@ -84,19 +84,50 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト ### Forensic - Sysinternals -- Volatility +- [Volatility](https://github.com/mether049/malware/edit/master/malware-analysis_ref_and_memo.md) - DFIRやマルウェア解析に焦点を当てたメモリダンプ調査フレームワーク - プラグインが充実している - - Virtual Box上のゲストOSからメモリダンプを取得する方法 - - VboxManageを利用してホストOSからゲストOSを起動する - ``` - > .\VBoxManage.exe startvm "gust name or uuid" - ``` + - プロファイルの指定が必要である(メモリダンプがどのシステム(OS,データ構造,シンボル)で使用したものなのかを識別するため) + - Volatility 3からは不要とのこと + - 対応しているメモリダンプのフォーマット + > - Raw linear sample (dd) + > - Hibernation file (from Windows 7 and earlier) + > - Crash dump file + > - VirtualBox ELF64 core dump + > - VMware saved state and snapshot files + > - EWF format (E01) + > - LiME format + > - Mach-O file format + > - QEMU virtual machine dumps + > - Firewire + > - HPAK (FDPro) + - **ref:** + - [cheet sheet](https://github.com/volatilityfoundation/volatility/raw/gh-pages/docs/VolatilityCheatSheet.pdf) + - [cheet sheet(sans)](https://digital-forensics.sans.org/media/volatility-memory-forensics-cheat-sheet.pdf) + - [Command Reference](https://github.com/volatilityfoundation/volatility/wiki/Command-Reference) + - [First steps to volatile memory analysis](https://medium.com/@zemelusa/first-steps-to-volatile-memory-analysis-dcbd4d2d56a1) + - [Volatility, my own cheatsheet (Part 1): Image Identification](https://www.andreafortuna.org/2017/06/25/volatility-my-own-cheatsheet-part-1-image-identification/) + - Virtual Box上のゲストOSからメモリダンプ(VirtualBox ELF64 core dump)を取得する方法 + - VBoxManageを利用してホストOSからゲストOSを起動する(VBoXManageで起動しないと原因は分からないがメモリダンプの取得でうまくいかなかった) + ``` + > .\VBoxManage.exe list vms # Virtual Boxで作成済みのゲストの名前とuuidの一覧を取得 + > .\VBoxManage.exe startvm "guest name or uuid" #起動 + ``` - VboxManageでメモリダンプ(VirtualBox ELF64 core dump)を取得する - - - プラグイン - - malconfscan - - hollowfind + ``` + > .\VBoxmMnage.exe debugvm "guest name or uuid" dumpvmcore --filename output.dmp + ``` + - この他に,[vboxdump.py](https://www.virtualbox.org/ticket/10222)というメモリダンプ作成用のpythonスクリプトもある + - ref: + - [How to extract a RAM dump from a running VirtualBox machine](https://www.andreafortuna.org/2017/06/23/how-to-extract-a-ram-dump-from-a-running-virtualbox-machine/) + - Plugins +|name|default|how to use|description|reference| +|:-|:-|:-|:-|:-| +|malfind|〇| python vol.py -f zeus.vmem malfind -p 1724||| +|[hollowfind](https://github.com/monnappa22/HollowFind)|-|python vol.py -f infected.vmem --profile=Win7SP0x86 hollowfind||| +|yarascan|〇| python vol.py -f zeus.vmem yarascan --yara-file=/path/to/rules.yar|||| +|[malconfscan](https://github.com/JPCERTCC/MalConfScan)|-|python vol.py malconfscan -f images.mem --profile=Win7SP1x64|マルウェアのコンフィグ情報の抽出,cuckooと組み合わせることが可能|[wiki](https://github.com/JPCERTCC/MalConfScan/wiki)| +|[malstrscan](https://github.com/JPCERTCC/MalConfScan)|-|python vol.py malstrscan -a -f images.mem --profile=Win7SP1x64|||| ### Threat hunting - EQL