1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00

Update malware-analysis_ref_and_memo.md

This commit is contained in:
mether049 2020-02-02 00:01:35 +09:00 committed by GitHub
parent 6a43943ad7
commit 3186331c3d
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -96,11 +96,21 @@
|Yomi Sandbox|https://yomi.yoroi.company/upload|| |Yomi Sandbox|https://yomi.yoroi.company/upload||
|UnpacMe|https://www.unpac.me/#/|online unpacker,beta| |UnpacMe|https://www.unpac.me/#/|online unpacker,beta|
### Unpacker/Decryptor/Detector/Extractor ### Unpacker/Decryptor/Decoder/Extractor/Memory Scanner
- 攻撃者グループTA505が利用するマルウェア(GetandGoDll, Silence, TinyMet, Azorult, KBMiner, etc.)の静的アンパッカー<br> - 攻撃者グループTA505が利用するマルウェア(GetandGoDll, Silence, TinyMet, Azorult, KBMiner, etc.)の静的アンパッカー<br>
[TAFOF-Unpacker](https://github.com/Tera0017/TAFOF-Unpacker) [TAFOF-Unpacker](https://github.com/Tera0017/TAFOF-Unpacker)
- Trickbotのartifactを取得するためのdecrypter<br> - Trickbotのartifactを取得するためのdecrypter<br>
[Trickbot artifact decrypter](https://github.com/snemes/malware-analysis/tree/master/trickbot) [Trickbot artifact decrypter](https://github.com/snemes/malware-analysis/tree/master/trickbot)
- マルウェアサンプルやメモリダンプの自動分析(コードインジェクションの抽出プロセスダンプyaraスキャン文字列の抽出)<br>
[VolatilityBot](https://github.com/mkorman90/VolatilityBot)<br>
- IoCスキャナー(パス・ファイル名の正規表現マッチファイルとプロセスメモリのyaraスキャンhashマッチc2 IoCスキャンPE-Sieve)<br>
[Loki - Simple IOC Scanner](https://github.com/Neo23x0/Loki)<br>
- FireEye Labsの静的解析分析技術を利用して難読化された文字列を自動的に検知抽出デコード<br>
[flare-floss](https://github.com/fireeye/flare-floss)<br>
- Process Hollowing,Injectionされた特定のプロセスをダンプ<br>
[PE-Sieve](https://github.com/hasherezade/pe-sieve)<br>
- PE-Sieveを使用してシステム全体をスキャン<br>
[HollowsHunter](https://github.com/hasherezade/hollows_hunter)<br>
- Injecition/Hollowingされたプロセスの自動検出<br> - Injecition/Hollowingされたプロセスの自動検出<br>
[Memhunter](https://github.com/marcosd4h/memhunter)<br> [Memhunter](https://github.com/marcosd4h/memhunter)<br>
- **ref:**<br> - **ref:**<br>