Update malware-analysis_ref_and_memo.md

2024-06-10 21:32:07 +07:00 · 2020-03-20 05:12:35 +09:00 · 2020-03-20 05:12:35 +09:00 · 125fbc9247
commit 125fbc9247
parent fe07acf0bd
1 changed files with 10 additions and 10 deletions
--- a/malware-analysis_ref_and_memo.md
+++ b/malware-analysis_ref_and_memo.md
@ -281,21 +281,21 @@ Injecition/Hollowingされたプロセスの自動検出<br>
 - p-code
 	- マクロコードをコンパイルした中間コード
 		- ドキュメント内のvbaコードのバージョンとシステム上のvbaのバージョンが同じ場合，コンテンツが有効化された際に表示されるソースコードは**p-codeが逆コンパイルされたもの**
-		- ドキュメント内のvbaコードのバージョンとシステム上のvbaのバージョンが異なる場合，コンテンツが有効化された際に表示されるソースコードは**圧縮されたvbaソースコードを解凍したものである**
+		- ドキュメント内のvbaコードのバージョンとシステム上のvbaのバージョンが異なる場合，コンテンツが有効化された際に表示されるソースコードは**圧縮されたvbaソースコードを解凍したもの**
 - VB Editor
 	- debuggerでstep実行が可能？
 	- 難読化解除の手順
-		1. olevba等でvbaマクロコードを抽出
-		2. 悪意のあるファイルを開いてdocx形式で保存し，閉じる
+		a. olevba等でvbaマクロコードを抽出
+		b. 悪意のあるファイルを開いてdocx形式で保存し，閉じる
 			- [コンテンツを有効化]は押さない
 			- [編集を有効にする]は押す
-		3. olevba等で.docxファイルにマクロが含まれないことを確認する
-		4. .docxファイルを開く
+		c. olevba等で.docxファイルにマクロが含まれないことを確認する
+		d. .docxファイルを開く
 			- ActivXオブジェクトがある場合，[コンテンツを有効にする]を押す
-		5. Alt+F11でVB Editorを開く
-		6. 1.で抽出したVBAマクロコードのコピー
-		7. 悪意のあるコード実行部分を出力系の関数等(MsgBox,etc.)で無害化
-		9. VB Editorのdebuggerで難読化解除
+		e. Alt+F11でVB Editorを開く
+		f. 1.で抽出したVBAマクロコードのコピー
+		g. 悪意のあるコード実行部分を出力系の関数等(MsgBox,etc.)で無害化
+		h. VB Editorのdebuggerで難読化解除
 		- ref:
 			- [VBA Macro analysis: Beware of the Shift Key!](https://decalage.info/vbashift)
 	- vbaData.xmlの削除
@ -336,7 +336,7 @@ Injecition/Hollowingされたプロセスの自動検出<br>
        - RTFファイルからOLEパッケージオブジェクトを検出し、埋め込みファイルを抽出
 	- ref:
 		- [oletools_cheatsheet.pdf](https://github.com/decalage2/oletools/blob/master/cheatsheet/oletools_cheatsheet.pdf)
- [ViperMonkey](https://github.com/decalage2/ViperMonkey)
+- **[ViperMonkey](https://github.com/decalage2/ViperMonkey)**
 	- VBAマクロの分析や難読化解除を行うためのVBAエミュレーションエンジン
 - **[Vba2Graph](https://github.com/MalwareCantFly/Vba2Graph)**
 	- vbaのコールグラフを生成