1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00

Update malware-analysis_ref_and_memo.md

This commit is contained in:
mether049 2020-03-20 15:19:20 +09:00 committed by GitHub
parent 141ff3ddab
commit 5aaa508618
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -74,31 +74,32 @@ DFIR,マルウェア解析OSINTに特化したUbuntuベースのディスト
- **Intel PIN** - **Intel PIN**
### Traffic Analysis tools ### Traffic Analysis tools
- **Wireshark** - **[Wireshark](https://www.wireshark.org/download.html)**
- ref: - CLI版はTShark
- [Wireshark Tutorial,Unit42(2019)](https://unit42.paloaltonetworks.com/tag/tutorial/) - ref:
- [Wireshark Tutorial,Unit42(2019)](https://unit42.paloaltonetworks.com/tag/tutorial/)
- **tcpdump** - **tcpdump**
- **scapy** - **[Scapy](https://scapy.net/)**
- **[Fiddler](https://www.telerik.com/fiddler)** - **[Fiddler](https://www.telerik.com/fiddler)**
- Web Proxy debugger - Web Proxy debugger
- **[EKFiddle](https://github.com/malwareinfosec/EKFiddle)** - **[EKFiddle](https://github.com/malwareinfosec/EKFiddle)**
- URLパターンIPなどから特定のマルウェアやEKの通信を識別することが可能 - URLパターンIPなどから特定のマルウェアやEKの通信を識別することが可能
- ref: - ref:
- [Malicious Traffic Analysis with EKFiddle(2019-03)](https://drive.google.com/file/d/1VhZyCiHgtDwcCh7cpVWMCTi9B_Nj66AC/view) - [Malicious Traffic Analysis with EKFiddle(2019-03)](https://drive.google.com/file/d/1VhZyCiHgtDwcCh7cpVWMCTi9B_Nj66AC/view)
- **Burp Suite** - **[Burp Suite](https://portswigger.net/burp)**
- ローカルプロキシツール - ローカルプロキシツール
- プラグイン - プラグイン
- [awesome-burp-suite](https://github.com/alphaSeclab/awesome-burp-suite) - [awesome-burp-suite](https://github.com/alphaSeclab/awesome-burp-suite)
- **Fake-net NG** - **[Fake-net NG](https://github.com/fireeye/flare-fakenet-ng)**
- **INetSim** - **[INetSim](https://www.inetsim.org/)**
- **Noriben** - **[Noriben](https://github.com/Rurik/Noriben)**
- **[Parse User Agents](https://developers.whatismybrowser.com/)** - **[Parse User Agents](https://developers.whatismybrowser.com/)**
- User AgentをパースするWebサービス - User AgentをパースするWebサービス
- User Agentに含まれる情報の調査に利用したり一般的なUser Agentが田舎の判断に利用することが可能 - User Agentに含まれる情報の調査に利用したり一般的なUser Agentが田舎の判断に利用することが可能
- 数百万のUser Agentに対応 - 数百万のUser Agentに対応
### Forensic ### Forensic
- **Sysinternals** - **[Sysinternals](https://docs.microsoft.com/en-us/sysinternals/downloads/)**
- Sysmon - Sysmon
- ホスト上で発生したプロセスファイルレジストリネットワークWMI関連のインベントをEventLog(.evtx)に記録する - ホスト上で発生したプロセスファイルレジストリネットワークWMI関連のインベントをEventLog(.evtx)に記録する
- ref: - ref:
@ -158,7 +159,7 @@ DFIR,マルウェア解析OSINTに特化したUbuntuベースのディスト
- バイナリの差分の確認も可能 - バイナリの差分の確認も可能
### Threat hunting ### Threat hunting
- **EQL** - **[EQL](https://eql.readthedocs.io/en/latest/)**
- cheet sheet - cheet sheet
``` ```
# maldoc -> command,script # maldoc -> command,script
@ -191,8 +192,8 @@ DFIR,マルウェア解析OSINTに特化したUbuntuベースのディスト
.NETデコンパイラ,C#やVBで作成された実行ファイルを高精度でデコンパイルする .NETデコンパイラ,C#やVBで作成された実行ファイルを高精度でデコンパイルする
### Utilities ### Utilities
- **PeBear** - **[PeBear](https://github.com/hasherezade/pe-bear-releases)**
- **PeStudio** - **[PeStudio](https://www.winitor.com/get.html)**
- **[ResourceHacker](http://www.angusj.com/resourcehacker/)** - **[ResourceHacker](http://www.angusj.com/resourcehacker/)**
- PEファイルからリソースファイルの抽出編集が可能なツール - PEファイルからリソースファイルの抽出編集が可能なツール
- **PEiD** - **PEiD**
@ -212,7 +213,7 @@ DFIR,マルウェア解析OSINTに特化したUbuntuベースのディスト
- **Process Hacker** - **Process Hacker**
- Mutexの確認が可能 - Mutexの確認が可能
- **RegShot** - **RegShot**
- **RegistryChangesView** - **[RegistryChangesView](https://www.nirsoft.net/utils/registry_changes_view.html)**
- **[CyberChef](https://gchq.github.io/CyberChef/)** - **[CyberChef](https://gchq.github.io/CyberChef/)**
- input(ファイル,文字列,データ)に対して様々なOperation(暗号化,復号,エンコード,デコード,情報抽出,変換,置換,計算,その他多数)を適用・組み合わせてOutputするWebサービス - input(ファイル,文字列,データ)に対して様々なOperation(暗号化,復号,エンコード,デコード,情報抽出,変換,置換,計算,その他多数)を適用・組み合わせてOutputするWebサービス
- 適用・組み合わせたOperantinをレシピとしてURLで共有することができる - 適用・組み合わせたOperantinをレシピとしてURLで共有することができる
@ -223,8 +224,7 @@ DFIR,マルウェア解析OSINTに特化したUbuntuベースのディスト
- [010 Editorに組み込むことも可能](https://www.sweetscape.com/010editor/repository/scripts/file_info.php?file=RateStrings.1sc&type=1&sort=) - [010 Editorに組み込むことも可能](https://www.sweetscape.com/010editor/repository/scripts/file_info.php?file=RateStrings.1sc&type=1&sort=)
- ref: - ref:
- [Learning to Rank Strings Output for Speedier Malware Analysis](https://www.fireeye.com/blog/threat-research/2019/05/learning-to-rank-strings-output-for-speedier-malware-analysis.html) - [Learning to Rank Strings Output for Speedier Malware Analysis](https://www.fireeye.com/blog/threat-research/2019/05/learning-to-rank-strings-output-for-speedier-malware-analysis.html)
- **exiftool** - **exiftool**
- **wql** - **wql**
- wqlで子プロセスの検索 - wqlで子プロセスの検索
``` ```