mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-analysis_ref_and_memo.md
This commit is contained in:
parent
141ff3ddab
commit
5aaa508618
@ -74,31 +74,32 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト
|
||||
- **Intel PIN**
|
||||
|
||||
### Traffic Analysis tools
|
||||
- **Wireshark**
|
||||
- **[Wireshark](https://www.wireshark.org/download.html)**
|
||||
- CLI版はTShark
|
||||
- ref:
|
||||
- [Wireshark Tutorial,Unit42(2019)](https://unit42.paloaltonetworks.com/tag/tutorial/)
|
||||
- **tcpdump**
|
||||
- **scapy**
|
||||
- **[Scapy](https://scapy.net/)**
|
||||
- **[Fiddler](https://www.telerik.com/fiddler)**
|
||||
- Web Proxy debugger
|
||||
- **[EKFiddle](https://github.com/malwareinfosec/EKFiddle)**
|
||||
- URLパターン,IPなどから特定のマルウェアやEKの通信を識別することが可能
|
||||
- ref:
|
||||
- [Malicious Traffic Analysis with EKFiddle(2019-03)](https://drive.google.com/file/d/1VhZyCiHgtDwcCh7cpVWMCTi9B_Nj66AC/view)
|
||||
- **Burp Suite**
|
||||
- **[Burp Suite](https://portswigger.net/burp)**
|
||||
- ローカルプロキシツール
|
||||
- プラグイン
|
||||
- [awesome-burp-suite](https://github.com/alphaSeclab/awesome-burp-suite)
|
||||
- **Fake-net NG**
|
||||
- **INetSim**
|
||||
- **Noriben**
|
||||
- **[Fake-net NG](https://github.com/fireeye/flare-fakenet-ng)**
|
||||
- **[INetSim](https://www.inetsim.org/)**
|
||||
- **[Noriben](https://github.com/Rurik/Noriben)**
|
||||
- **[Parse User Agents](https://developers.whatismybrowser.com/)**
|
||||
- User AgentをパースするWebサービス
|
||||
- User Agentに含まれる情報の調査に利用したり,一般的なUser Agentが田舎の判断に利用することが可能
|
||||
- 数百万のUser Agentに対応
|
||||
|
||||
### Forensic
|
||||
- **Sysinternals**
|
||||
- **[Sysinternals](https://docs.microsoft.com/en-us/sysinternals/downloads/)**
|
||||
- Sysmon
|
||||
- ホスト上で発生したプロセス,ファイル,レジストリ,ネットワーク,WMI関連のインベントをEventLog(.evtx)に記録する
|
||||
- ref:
|
||||
@ -158,7 +159,7 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト
|
||||
- バイナリの差分の確認も可能
|
||||
|
||||
### Threat hunting
|
||||
- **EQL**
|
||||
- **[EQL](https://eql.readthedocs.io/en/latest/)**
|
||||
- cheet sheet
|
||||
```
|
||||
# maldoc -> command,script
|
||||
@ -191,8 +192,8 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト
|
||||
.NETデコンパイラ,C#やVBで作成された実行ファイルを高精度でデコンパイルする
|
||||
|
||||
### Utilities
|
||||
- **PeBear**
|
||||
- **PeStudio**
|
||||
- **[PeBear](https://github.com/hasherezade/pe-bear-releases)**
|
||||
- **[PeStudio](https://www.winitor.com/get.html)**
|
||||
- **[ResourceHacker](http://www.angusj.com/resourcehacker/)**
|
||||
- PEファイルからリソースファイルの抽出,編集が可能なツール
|
||||
- **PEiD**
|
||||
@ -212,7 +213,7 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト
|
||||
- **Process Hacker**
|
||||
- Mutexの確認が可能
|
||||
- **RegShot**
|
||||
- **RegistryChangesView**
|
||||
- **[RegistryChangesView](https://www.nirsoft.net/utils/registry_changes_view.html)**
|
||||
- **[CyberChef](https://gchq.github.io/CyberChef/)**
|
||||
- input(ファイル,文字列,データ)に対して様々なOperation(暗号化,復号,エンコード,デコード,情報抽出,変換,置換,計算,その他多数)を適用・組み合わせて,OutputするWebサービス
|
||||
- 適用・組み合わせたOperantinをレシピとしてURLで共有することができる
|
||||
@ -224,7 +225,6 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト
|
||||
- ref:
|
||||
- [Learning to Rank Strings Output for Speedier Malware Analysis](https://www.fireeye.com/blog/threat-research/2019/05/learning-to-rank-strings-output-for-speedier-malware-analysis.html)
|
||||
- **exiftool**
|
||||
|
||||
- **wql**
|
||||
- wqlで子プロセスの検索
|
||||
```
|
||||
|
Loading…
Reference in New Issue
Block a user