From 5e37f43ded1ce13091d988bb7b62ac067997ef8c Mon Sep 17 00:00:00 2001 From: mether049 Date: Mon, 17 Feb 2020 02:08:13 +0900 Subject: [PATCH] Update malware-tech_ref_and_memo.md --- malware-tech_ref_and_memo.md | 46 ++++++++++++++++++------------------ 1 file changed, 23 insertions(+), 23 deletions(-) diff --git a/malware-tech_ref_and_memo.md b/malware-tech_ref_and_memo.md index 215e19d..7308366 100644 --- a/malware-tech_ref_and_memo.md +++ b/malware-tech_ref_and_memo.md @@ -265,29 +265,6 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert **ref:**
[Fast Flux networks: What are they and how do they work?](https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/) -# Shell Backdoor -- Web Shell等 -- 様々なShell Backdoor(PHP/ASP)
-[Shell Backdoor List - PHP / ASP Shell Backdoor List](https://www.kitploit.com/2020/01/shell-backdoor-list-php-asp-shell.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+PentestTools+%28PenTest+Tools%29) - -# Persistence -## Registry -- 利用されるWin32API - - RegSetValue -- 利用されるレジストリ - - HKCU\Software\Microsoft\Windows\CurrentVersion\Run - - HKLM\Software\Microsoft\Windows\CurrentVersion\Run - - HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce - - HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce - - HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices - - HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices - - HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce - - HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce - - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run - - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run - - HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx - - HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler - ## Packing - 実行形式を保持したまま,実行ファイルを圧縮 - パッキング後のプログラムには展開ルーチン,圧縮されたオリジナルコードが含まれる @@ -326,6 +303,29 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert - レジスタにAPIのアドレスをsetして,jmpしてAPIを呼び出し - スタックにAPIのアドレスをsetして,retでAPIを呼び出し +# Persistence +## Registry +- 利用されるWin32API + - RegSetValue +- 利用されるレジストリ + - HKCU\Software\Microsoft\Windows\CurrentVersion\Run + - HKLM\Software\Microsoft\Windows\CurrentVersion\Run + - HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce + - HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce + - HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices + - HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices + - HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce + - HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce + - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run + - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run + - HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx + - HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler + +# Shell Backdoor +- Web Shell等 +- 様々なShell Backdoor(PHP/ASP)
+[Shell Backdoor List - PHP / ASP Shell Backdoor List](https://www.kitploit.com/2020/01/shell-backdoor-list-php-asp-shell.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+PentestTools+%28PenTest+Tools%29) + # rootkit ## LKM rootkit - 動的にカーネルに組み込めるモジュールであるLKM(Loadable Kernel Module)を利用して,sys_call_tableの特定のカーネル関数のアドレスを任意の関数のアドレスへと書き換えることで,本来とは異なるカーネル関数であるrootkitのカーネル関数等が呼び出せるようになる(システムコールフック)