mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-tech_ref_and_memo.md
This commit is contained in:
parent
02da2c173a
commit
0c68ba4cd2
@ -10,7 +10,7 @@
|
|||||||
- 正規プロセス等のアドレス空間にコードを注入することで検知や分析を妨害するTechnique
|
- 正規プロセス等のアドレス空間にコードを注入することで検知や分析を妨害するTechnique
|
||||||
- 利用される正規プロセス:svchost.exe,explorer.exe,regsvr32.exe,etc.
|
- 利用される正規プロセス:svchost.exe,explorer.exe,regsvr32.exe,etc.
|
||||||
- Heaven's Gateと組み合わせて利用される場合あり
|
- Heaven's Gateと組み合わせて利用される場合あり
|
||||||
-
|
|
||||||
**ref:**<br>
|
**ref:**<br>
|
||||||
- 各種Injection/Hollowingで利用されるAPIの一覧<br>
|
- 各種Injection/Hollowingで利用されるAPIの一覧<br>
|
||||||
[HUNTING PROCESS INJECTION BY WINDOWSAPI CALLS (2019-11)](https://malwareanalysis.co/wp-content/uploads/2019/11/Hunting-Process-Injection-by-Windows-API-Calls.pdf)<br>
|
[HUNTING PROCESS INJECTION BY WINDOWSAPI CALLS (2019-11)](https://malwareanalysis.co/wp-content/uploads/2019/11/Hunting-Process-Injection-by-Windows-API-Calls.pdf)<br>
|
||||||
@ -465,20 +465,20 @@ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
|
|||||||
```
|
```
|
||||||
|
|
||||||
# Deleting, Disabling, Exiting, Killing, Terminating
|
# Deleting, Disabling, Exiting, Killing, Terminating
|
||||||
## Delete Volume Shadow
|
### Delete Volume Shadow
|
||||||
- ランサムウェアはバックアップからの復元を防ぐためにvolume shadowを削除することが多い
|
- ランサムウェアはバックアップからの復元を防ぐためにvolume shadowを削除することが多い
|
||||||
```
|
```
|
||||||
vssadmin Delete Shadows /All /Quiet
|
vssadmin Delete Shadows /All /Quiet
|
||||||
```
|
```
|
||||||
## Delete Service
|
### Delete Service
|
||||||
```
|
```
|
||||||
sc delete
|
sc delete
|
||||||
```
|
```
|
||||||
## Kill Task
|
### Kill Task
|
||||||
```
|
```
|
||||||
taskkill -f -im
|
taskkill -f -im
|
||||||
```
|
```
|
||||||
## Terminate Process
|
### Terminate Process
|
||||||
- TerminateProcess APIの使用
|
- TerminateProcess APIの使用
|
||||||
|
|
||||||
# maldoc
|
# maldoc
|
||||||
|
Loading…
Reference in New Issue
Block a user