mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-analysis_ref_and_memo.md
This commit is contained in:
parent
141ff3ddab
commit
5aaa508618
@ -74,31 +74,32 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト
|
|||||||
- **Intel PIN**
|
- **Intel PIN**
|
||||||
|
|
||||||
### Traffic Analysis tools
|
### Traffic Analysis tools
|
||||||
- **Wireshark**
|
- **[Wireshark](https://www.wireshark.org/download.html)**
|
||||||
|
- CLI版はTShark
|
||||||
- ref:
|
- ref:
|
||||||
- [Wireshark Tutorial,Unit42(2019)](https://unit42.paloaltonetworks.com/tag/tutorial/)
|
- [Wireshark Tutorial,Unit42(2019)](https://unit42.paloaltonetworks.com/tag/tutorial/)
|
||||||
- **tcpdump**
|
- **tcpdump**
|
||||||
- **scapy**
|
- **[Scapy](https://scapy.net/)**
|
||||||
- **[Fiddler](https://www.telerik.com/fiddler)**
|
- **[Fiddler](https://www.telerik.com/fiddler)**
|
||||||
- Web Proxy debugger
|
- Web Proxy debugger
|
||||||
- **[EKFiddle](https://github.com/malwareinfosec/EKFiddle)**
|
- **[EKFiddle](https://github.com/malwareinfosec/EKFiddle)**
|
||||||
- URLパターン,IPなどから特定のマルウェアやEKの通信を識別することが可能
|
- URLパターン,IPなどから特定のマルウェアやEKの通信を識別することが可能
|
||||||
- ref:
|
- ref:
|
||||||
- [Malicious Traffic Analysis with EKFiddle(2019-03)](https://drive.google.com/file/d/1VhZyCiHgtDwcCh7cpVWMCTi9B_Nj66AC/view)
|
- [Malicious Traffic Analysis with EKFiddle(2019-03)](https://drive.google.com/file/d/1VhZyCiHgtDwcCh7cpVWMCTi9B_Nj66AC/view)
|
||||||
- **Burp Suite**
|
- **[Burp Suite](https://portswigger.net/burp)**
|
||||||
- ローカルプロキシツール
|
- ローカルプロキシツール
|
||||||
- プラグイン
|
- プラグイン
|
||||||
- [awesome-burp-suite](https://github.com/alphaSeclab/awesome-burp-suite)
|
- [awesome-burp-suite](https://github.com/alphaSeclab/awesome-burp-suite)
|
||||||
- **Fake-net NG**
|
- **[Fake-net NG](https://github.com/fireeye/flare-fakenet-ng)**
|
||||||
- **INetSim**
|
- **[INetSim](https://www.inetsim.org/)**
|
||||||
- **Noriben**
|
- **[Noriben](https://github.com/Rurik/Noriben)**
|
||||||
- **[Parse User Agents](https://developers.whatismybrowser.com/)**
|
- **[Parse User Agents](https://developers.whatismybrowser.com/)**
|
||||||
- User AgentをパースするWebサービス
|
- User AgentをパースするWebサービス
|
||||||
- User Agentに含まれる情報の調査に利用したり,一般的なUser Agentが田舎の判断に利用することが可能
|
- User Agentに含まれる情報の調査に利用したり,一般的なUser Agentが田舎の判断に利用することが可能
|
||||||
- 数百万のUser Agentに対応
|
- 数百万のUser Agentに対応
|
||||||
|
|
||||||
### Forensic
|
### Forensic
|
||||||
- **Sysinternals**
|
- **[Sysinternals](https://docs.microsoft.com/en-us/sysinternals/downloads/)**
|
||||||
- Sysmon
|
- Sysmon
|
||||||
- ホスト上で発生したプロセス,ファイル,レジストリ,ネットワーク,WMI関連のインベントをEventLog(.evtx)に記録する
|
- ホスト上で発生したプロセス,ファイル,レジストリ,ネットワーク,WMI関連のインベントをEventLog(.evtx)に記録する
|
||||||
- ref:
|
- ref:
|
||||||
@ -158,7 +159,7 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト
|
|||||||
- バイナリの差分の確認も可能
|
- バイナリの差分の確認も可能
|
||||||
|
|
||||||
### Threat hunting
|
### Threat hunting
|
||||||
- **EQL**
|
- **[EQL](https://eql.readthedocs.io/en/latest/)**
|
||||||
- cheet sheet
|
- cheet sheet
|
||||||
```
|
```
|
||||||
# maldoc -> command,script
|
# maldoc -> command,script
|
||||||
@ -191,8 +192,8 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト
|
|||||||
.NETデコンパイラ,C#やVBで作成された実行ファイルを高精度でデコンパイルする
|
.NETデコンパイラ,C#やVBで作成された実行ファイルを高精度でデコンパイルする
|
||||||
|
|
||||||
### Utilities
|
### Utilities
|
||||||
- **PeBear**
|
- **[PeBear](https://github.com/hasherezade/pe-bear-releases)**
|
||||||
- **PeStudio**
|
- **[PeStudio](https://www.winitor.com/get.html)**
|
||||||
- **[ResourceHacker](http://www.angusj.com/resourcehacker/)**
|
- **[ResourceHacker](http://www.angusj.com/resourcehacker/)**
|
||||||
- PEファイルからリソースファイルの抽出,編集が可能なツール
|
- PEファイルからリソースファイルの抽出,編集が可能なツール
|
||||||
- **PEiD**
|
- **PEiD**
|
||||||
@ -212,7 +213,7 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト
|
|||||||
- **Process Hacker**
|
- **Process Hacker**
|
||||||
- Mutexの確認が可能
|
- Mutexの確認が可能
|
||||||
- **RegShot**
|
- **RegShot**
|
||||||
- **RegistryChangesView**
|
- **[RegistryChangesView](https://www.nirsoft.net/utils/registry_changes_view.html)**
|
||||||
- **[CyberChef](https://gchq.github.io/CyberChef/)**
|
- **[CyberChef](https://gchq.github.io/CyberChef/)**
|
||||||
- input(ファイル,文字列,データ)に対して様々なOperation(暗号化,復号,エンコード,デコード,情報抽出,変換,置換,計算,その他多数)を適用・組み合わせて,OutputするWebサービス
|
- input(ファイル,文字列,データ)に対して様々なOperation(暗号化,復号,エンコード,デコード,情報抽出,変換,置換,計算,その他多数)を適用・組み合わせて,OutputするWebサービス
|
||||||
- 適用・組み合わせたOperantinをレシピとしてURLで共有することができる
|
- 適用・組み合わせたOperantinをレシピとしてURLで共有することができる
|
||||||
@ -224,7 +225,6 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト
|
|||||||
- ref:
|
- ref:
|
||||||
- [Learning to Rank Strings Output for Speedier Malware Analysis](https://www.fireeye.com/blog/threat-research/2019/05/learning-to-rank-strings-output-for-speedier-malware-analysis.html)
|
- [Learning to Rank Strings Output for Speedier Malware Analysis](https://www.fireeye.com/blog/threat-research/2019/05/learning-to-rank-strings-output-for-speedier-malware-analysis.html)
|
||||||
- **exiftool**
|
- **exiftool**
|
||||||
|
|
||||||
- **wql**
|
- **wql**
|
||||||
- wqlで子プロセスの検索
|
- wqlで子プロセスの検索
|
||||||
```
|
```
|
||||||
|
Loading…
Reference in New Issue
Block a user