1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00

Update detecting_ph_process.md

This commit is contained in:
mether049 2020-04-07 12:05:33 +09:00 committed by GitHub
parent dfc6685b60
commit 82c3e922ff
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -182,7 +182,7 @@ PS> .\VBoxManage.exe startvm "guest name or uuid" #起動
``` ```
2. VboxManageでメモリダンプ(VirtualBox ELF64 core dump)を取得する 2. VboxManageでメモリダンプ(VirtualBox ELF64 core dump)を取得する
``` ```
PS> .\VBoxMnage.exe debugvm "guest name or uuid" dumpvmcore --filename output.dmp PS> .\VBoxManage.exe debugvm "guest name or uuid" dumpvmcore --filename output.dmp
``` ```
3. 最新のVolatilityを[こちら](https://github.com/volatilityfoundation/volatility)からダウンロードする 3. 最新のVolatilityを[こちら](https://github.com/volatilityfoundation/volatility)からダウンロードする
4. 考え方はEQLのときと同じでプロセスツリーから親子関係が不自然なプロセスを確認する(今回はTrickbotなのでsvchost.exeでgrepしている) 4. 考え方はEQLのときと同じでプロセスツリーから親子関係が不自然なプロセスを確認する(今回はTrickbotなのでsvchost.exeでgrepしている)