From 741ab4dbb8c1889676b7650132a2733d4b26385f Mon Sep 17 00:00:00 2001 From: mether049 Date: Tue, 21 Apr 2020 23:19:28 +0900 Subject: [PATCH] Update malware-analysis_ref_and_memo.md --- malware-analysis_ref_and_memo.md | 12 ++++++++++-- 1 file changed, 10 insertions(+), 2 deletions(-) diff --git a/malware-analysis_ref_and_memo.md b/malware-analysis_ref_and_memo.md index 8d5cd66..fe62c80 100644 --- a/malware-analysis_ref_and_memo.md +++ b/malware-analysis_ref_and_memo.md @@ -101,9 +101,10 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト - 数百万のUser Agentに対応 ### Forensic -- **Windows Security Log** +- **Windows Log** - [Windows Security Log Events](https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/) - 一覧 + - [Windows security event log library](https://www.manageengine.com/products/active-directory-audit/kb/windows-event-log-id-list.html) - **[Sysinternals](https://docs.microsoft.com/en-us/sysinternals/downloads/)** - Sysmon - ホスト上で発生したプロセス,ファイル,レジストリ,ネットワーク,WMI関連のインベントをEventLog(.evtx)に記録する @@ -191,7 +192,14 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト (process_name == 'userinit.exe' and not parent_process_name in ('dwm.exe', 'winlogon.exe')) ) ``` - +- ref: + - [Awesome Threat Detection and Hunting](https://github.com/0x4D31/awesome-threat-detection) + - [Threat Hunting via Windows Event Logs](https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1524493093.pdf) + - [Detecting the Elusive Active Directory Threat Hunting +](https://adsecurity.org/wp-content/uploads/2017/04/2017-BSidesCharm-DetectingtheElusive-ActiveDirectoryThreatHunting-Final.pdf) + - [インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書](https://www.jpcert.or.jp/research/20160628ac-ir_research.pdf) + - [Event Log Analysis](https://sect.iij.ad.jp/d/2018/05/044132/training_material_sample_for_eventlog_analysis.pdf) + - [ログを活用した Active Directory に対する攻撃の検知と対策](https://www.jpcert.or.jp/research/AD_report_20170314.pdf) ### .NET analysis - **[dnspy](https://github.com/0xd4d/dnSpy)
** .NETデコンパイラ,C#やVBで作成された実行ファイルを高精度でデコンパイルする