nganhkhoa/mether049-malware
1
0
Fork 0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00
Code Issues Projects Releases Wiki Activity

Update detecting_ph_process.md

Browse Source
This commit is contained in:
mether049 2020-04-07 12:05:33 +09:00 committed by GitHub
parent dfc6685b60
commit 82c3e922ff
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23
1 changed files with 1 additions and 1 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

2
detecting_ph_process.md
View File

@ -182,7 +182,7 @@ PS> .\VBoxManage.exe startvm "guest name or uuid" #起動
``` ```
2. VboxManageでメモリダンプ(VirtualBox ELF64 core dump)を取得する 2. VboxManageでメモリダンプ(VirtualBox ELF64 core dump)を取得する
``` ```
PS> .\VBoxMnage.exe debugvm "guest name or uuid" dumpvmcore --filename output.dmp PS> .\VBoxManage.exe debugvm "guest name or uuid" dumpvmcore --filename output.dmp
``` ```
3. 最新のVolatilityを[こちら](https://github.com/volatilityfoundation/volatility)からダウンロードする 3. 最新のVolatilityを[こちら](https://github.com/volatilityfoundation/volatility)からダウンロードする
4. 考え方はEQLのときと同じでプロセスツリーから親子関係が不自然なプロセスを確認する(今回はTrickbotなのでsvchost.exeでgrepしている) 4. 考え方はEQLのときと同じでプロセスツリーから親子関係が不自然なプロセスを確認する(今回はTrickbotなのでsvchost.exeでgrepしている)