1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00

Update malware-analysis_ref_and_memo.md

This commit is contained in:
mether049 2020-03-20 15:19:20 +09:00 committed by GitHub
parent 141ff3ddab
commit 5aaa508618
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -74,31 +74,32 @@ DFIR,マルウェア解析OSINTに特化したUbuntuベースのディスト
- **Intel PIN**
### Traffic Analysis tools
- **Wireshark**
- **[Wireshark](https://www.wireshark.org/download.html)**
- CLI版はTShark
- ref:
- [Wireshark Tutorial,Unit42(2019)](https://unit42.paloaltonetworks.com/tag/tutorial/)
- **tcpdump**
- **scapy**
- **[Scapy](https://scapy.net/)**
- **[Fiddler](https://www.telerik.com/fiddler)**
- Web Proxy debugger
- **[EKFiddle](https://github.com/malwareinfosec/EKFiddle)**
- URLパターンIPなどから特定のマルウェアやEKの通信を識別することが可能
- ref:
- [Malicious Traffic Analysis with EKFiddle(2019-03)](https://drive.google.com/file/d/1VhZyCiHgtDwcCh7cpVWMCTi9B_Nj66AC/view)
- **Burp Suite**
- **[Burp Suite](https://portswigger.net/burp)**
- ローカルプロキシツール
- プラグイン
- [awesome-burp-suite](https://github.com/alphaSeclab/awesome-burp-suite)
- **Fake-net NG**
- **INetSim**
- **Noriben**
- **[Fake-net NG](https://github.com/fireeye/flare-fakenet-ng)**
- **[INetSim](https://www.inetsim.org/)**
- **[Noriben](https://github.com/Rurik/Noriben)**
- **[Parse User Agents](https://developers.whatismybrowser.com/)**
- User AgentをパースするWebサービス
- User Agentに含まれる情報の調査に利用したり一般的なUser Agentが田舎の判断に利用することが可能
- 数百万のUser Agentに対応
### Forensic
- **Sysinternals**
- **[Sysinternals](https://docs.microsoft.com/en-us/sysinternals/downloads/)**
- Sysmon
- ホスト上で発生したプロセスファイルレジストリネットワークWMI関連のインベントをEventLog(.evtx)に記録する
- ref:
@ -158,7 +159,7 @@ DFIR,マルウェア解析OSINTに特化したUbuntuベースのディスト
- バイナリの差分の確認も可能
### Threat hunting
- **EQL**
- **[EQL](https://eql.readthedocs.io/en/latest/)**
- cheet sheet
```
# maldoc -> command,script
@ -191,8 +192,8 @@ DFIR,マルウェア解析OSINTに特化したUbuntuベースのディスト
.NETデコンパイラ,C#やVBで作成された実行ファイルを高精度でデコンパイルする
### Utilities
- **PeBear**
- **PeStudio**
- **[PeBear](https://github.com/hasherezade/pe-bear-releases)**
- **[PeStudio](https://www.winitor.com/get.html)**
- **[ResourceHacker](http://www.angusj.com/resourcehacker/)**
- PEファイルからリソースファイルの抽出編集が可能なツール
- **PEiD**
@ -212,7 +213,7 @@ DFIR,マルウェア解析OSINTに特化したUbuntuベースのディスト
- **Process Hacker**
- Mutexの確認が可能
- **RegShot**
- **RegistryChangesView**
- **[RegistryChangesView](https://www.nirsoft.net/utils/registry_changes_view.html)**
- **[CyberChef](https://gchq.github.io/CyberChef/)**
- input(ファイル,文字列,データ)に対して様々なOperation(暗号化,復号,エンコード,デコード,情報抽出,変換,置換,計算,その他多数)を適用・組み合わせてOutputするWebサービス
- 適用・組み合わせたOperantinをレシピとしてURLで共有することができる
@ -224,7 +225,6 @@ DFIR,マルウェア解析OSINTに特化したUbuntuベースのディスト
- ref:
- [Learning to Rank Strings Output for Speedier Malware Analysis](https://www.fireeye.com/blog/threat-research/2019/05/learning-to-rank-strings-output-for-speedier-malware-analysis.html)
- **exiftool**
- **wql**
- wqlで子プロセスの検索
```