Update malware-analysis_ref_and_memo.md

2024-06-10 21:32:07 +07:00 · 2020-03-20 15:19:20 +09:00 · 2020-03-20 15:19:20 +09:00 · 5aaa508618
commit 5aaa508618
parent 141ff3ddab
1 changed files with 25 additions and 25 deletions
--- a/malware-analysis_ref_and_memo.md
+++ b/malware-analysis_ref_and_memo.md
@ -74,31 +74,32 @@ DFIR,マルウェア解析，OSINTに特化したUbuntuベースのディスト
 - **Intel PIN**
 ### Traffic Analysis tools
- **Wireshark**
+- **[Wireshark](https://www.wireshark.org/download.html)**
-    - ref:
+	- CLI版はTShark
-        - [Wireshark Tutorial,Unit42(2019)](https://unit42.paloaltonetworks.com/tag/tutorial/)
+    	- ref:
        	- [Wireshark Tutorial,Unit42(2019)](https://unit42.paloaltonetworks.com/tag/tutorial/)
 - **tcpdump**
- **scapy**
+- **[Scapy](https://scapy.net/)**
 - **[Fiddler](https://www.telerik.com/fiddler)**
-    - Web Proxy debugger
+	- Web Proxy debugger
 - **[EKFiddle](https://github.com/malwareinfosec/EKFiddle)**
-    - URLパターン，IPなどから特定のマルウェアやEKの通信を識別することが可能
+	- URLパターン，IPなどから特定のマルウェアやEKの通信を識別することが可能
-    - ref:
+	- ref:
-        - [Malicious Traffic Analysis with EKFiddle(2019-03)](https://drive.google.com/file/d/1VhZyCiHgtDwcCh7cpVWMCTi9B_Nj66AC/view)
+		- [Malicious Traffic Analysis with EKFiddle(2019-03)](https://drive.google.com/file/d/1VhZyCiHgtDwcCh7cpVWMCTi9B_Nj66AC/view)
- **Burp Suite**
+- **[Burp Suite](https://portswigger.net/burp)**
-    - ローカルプロキシツール
+	- ローカルプロキシツール
-    - プラグイン
+	- プラグイン
-        - [awesome-burp-suite](https://github.com/alphaSeclab/awesome-burp-suite)
+		- [awesome-burp-suite](https://github.com/alphaSeclab/awesome-burp-suite)
- **Fake-net NG**
+- **[Fake-net NG](https://github.com/fireeye/flare-fakenet-ng)**
- **INetSim**
+- **[INetSim](https://www.inetsim.org/)**
- **Noriben**
+- **[Noriben](https://github.com/Rurik/Noriben)**
 - **[Parse User Agents](https://developers.whatismybrowser.com/)**
-    - User AgentをパースするWebサービス
+	- User AgentをパースするWebサービス
-    - User Agentに含まれる情報の調査に利用したり，一般的なUser Agentが田舎の判断に利用することが可能
+	- User Agentに含まれる情報の調査に利用したり，一般的なUser Agentが田舎の判断に利用することが可能
-    - 数百万のUser Agentに対応
+	- 数百万のUser Agentに対応
 ### Forensic
- **Sysinternals**
+- **[Sysinternals](https://docs.microsoft.com/en-us/sysinternals/downloads/)**
    - Sysmon
        - ホスト上で発生したプロセス，ファイル，レジストリ，ネットワーク，WMI関連のインベントをEventLog(.evtx)に記録する
        - ref:
@ -158,7 +159,7 @@ DFIR,マルウェア解析，OSINTに特化したUbuntuベースのディスト
    - バイナリの差分の確認も可能
 ### Threat hunting
- **EQL**
+- **[EQL](https://eql.readthedocs.io/en/latest/)**
 	- cheet sheet
 		```
 		# maldoc -> command,script
@ -191,8 +192,8 @@ DFIR,マルウェア解析，OSINTに特化したUbuntuベースのディスト
 .NETデコンパイラ,C#やVBで作成された実行ファイルを高精度でデコンパイルする
 ### Utilities
- **PeBear**
+- **[PeBear](https://github.com/hasherezade/pe-bear-releases)**
- **PeStudio**
+- **[PeStudio](https://www.winitor.com/get.html)**
 - **[ResourceHacker](http://www.angusj.com/resourcehacker/)**
    - PEファイルからリソースファイルの抽出，編集が可能なツール
 - **PEiD**
@ -212,7 +213,7 @@ DFIR,マルウェア解析，OSINTに特化したUbuntuベースのディスト
 - **Process Hacker**
    - Mutexの確認が可能
 - **RegShot**
- **RegistryChangesView**
+- **[RegistryChangesView](https://www.nirsoft.net/utils/registry_changes_view.html)**
 - **[CyberChef](https://gchq.github.io/CyberChef/)**
    - input(ファイル，文字列，データ)に対して様々なOperation(暗号化，復号，エンコード，デコード，情報抽出，変換，置換，計算，その他多数)を適用・組み合わせて，OutputするWebサービス
    - 適用・組み合わせたOperantinをレシピとしてURLで共有することができる
@ -224,7 +225,6 @@ DFIR,マルウェア解析，OSINTに特化したUbuntuベースのディスト
    - ref:
        - [Learning to Rank Strings Output for Speedier Malware Analysis](https://www.fireeye.com/blog/threat-research/2019/05/learning-to-rank-strings-output-for-speedier-malware-analysis.html)
 - **exiftool**   
 - **wql**
    - wqlで子プロセスの検索
 ```