diff --git a/malware-analysis_ref_and_memo.md b/malware-analysis_ref_and_memo.md
index 5e77b34..146ef1a 100644
--- a/malware-analysis_ref_and_memo.md
+++ b/malware-analysis_ref_and_memo.md
@@ -124,27 +124,28 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト
|UnpacMe|https://www.unpac.me/#/|online unpacker,beta|
### Unpacker/Decryptor/Decoder/Extractor/Memory Scanner
-- 攻撃者グループTA505が利用するマルウェア(GetandGoDll, Silence, TinyMet, Azorult, KBMiner, etc.)の静的アンパッカー
-[TAFOF-Unpacker](https://github.com/Tera0017/TAFOF-Unpacker)
-- Trickbotのartifactを取得するためのdecrypter
-[Trickbot artifact decrypter](https://github.com/snemes/malware-analysis/tree/master/trickbot)
-- マルウェアサンプルやメモリダンプの自動分析(コードインジェクションの抽出,プロセスダンプ,yaraスキャン,文字列の抽出)
-[VolatilityBot](https://github.com/mkorman90/VolatilityBot)
-- IoCスキャナー(パス・ファイル名の正規表現マッチ,ファイルとプロセスメモリのyaraスキャン,hashマッチ,c2 IoCスキャン,PE-Sieve)
-[Loki - Simple IOC Scanner](https://github.com/Neo23x0/Loki)
-- FireEye Labsの静的解析分析技術を利用して,難読化された文字列を自動的に検知,抽出,デコード
-[flare-floss](https://github.com/fireeye/flare-floss)
-- Process Hollowing,Injectionされた特定のプロセスをダンプ
-[PE-Sieve](https://github.com/hasherezade/pe-sieve)
-- PE-Sieveを使用してシステム全体をスキャン
-[HollowsHunter](https://github.com/hasherezade/hollows_hunter)
-- ファイルやプロセスメモリ内の文字列の抽出
-[strings2](http://split-code.com/strings2.html)
-- 文字列,正規表現でプロセスメモリをスキャン
-[mnemosyne](https://github.com/nccgroup/mnemosyne)
-[Memory Scraping for Fun & Profit - Matt Lewis, NCC Group at CRESTCon & IIP Congress,youtube](https://www.youtube.com/watch?v=5HdYcE-woDc)
-- Injecition/Hollowingされたプロセスの自動検出
-[Memhunter](https://github.com/marcosd4h/memhunter)
+- [TAFOF-Unpacker](https://github.com/Tera0017/TAFOF-Unpacker)
+攻撃者グループTA505が利用するマルウェア(GetandGoDll, Silence, TinyMet, Azorult, KBMiner, etc.)の静的アンパッカー
+- [Trickbot artifact decrypter](https://github.com/snemes/malware-analysis/tree/master/trickbot)
+Trickbotのartifactを取得するためのdecrypter
+- [VolatilityBot](https://github.com/mkorman90/VolatilityBot)
+マルウェアサンプルやメモリダンプの自動分析(コードインジェクションの抽出,プロセスダンプ,yaraスキャン,文字列の抽出)
+- [Loki - Simple IOC Scanner](https://github.com/Neo23x0/Loki)
+IoCスキャナー(パス・ファイル名の正規表現マッチ,ファイルとプロセスメモリのyaraスキャン,hashマッチ,c2 IoCスキャン,PE-Sieve)
+- [flare-floss](https://github.com/fireeye/flare-floss)
+FireEye Labsの静的解析分析技術を利用して,難読化された文字列を自動的に検知,抽出,デコード
+- [PE-Sieve](https://github.com/hasherezade/pe-sieve)
+Process Hollowing,Injectionされた特定のプロセスをダンプ
+- [HollowsHunter](https://github.com/hasherezade/hollows_hunter)
+PE-Sieveを使用してシステム全体をスキャン
+- [strings2](http://split-code.com/strings2.html)
+ファイルやプロセスメモリ内の文字列の抽出
+- [mnemosyne](https://github.com/nccgroup/mnemosyne)
+文字列,正規表現でプロセスメモリをスキャン
+ - **ref:**
+ - [Memory Scraping for Fun & Profit - Matt Lewis, NCC Group at CRESTCon & IIP Congress,youtube](https://www.youtube.com/watch?v=5HdYcE-woDc)
+- [Memhunter](https://github.com/marcosd4h/memhunter)
+Injecition/Hollowingされたプロセスの自動検出
- **ref:**
- [Memhunter (Memory resident malware hunting at scale)](https://docs.google.com/presentation/d/1hgx2FTNIkry9Nt8LOJVz_rHNhcGfJChxZVGckv7VI8E/edit#slide=id.g5712e7065f_1_1)
- [Reflective DLL Injection Detection through Memhunte,youtube](https://www.youtube.com/watch?v=t_fR1sCENkc)
@@ -164,13 +165,14 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト
# Doc Analysis
- VBA マクロの解析についての資料
[Advanced VBA Macros Attack&Defence,BHEU2019](https://www.decalage.info/files/eu-19-Lagadec-Advanced-VBA-Macros-Attack-And-Defence.pdf)
-- RTFファイルからOLEパッケージオブジェクトを検出し、埋め込みファイルを抽出
-[rtfobj](https://github.com/decalage2/oletools/wiki/rtfobj)
+- [rtfobj](https://github.com/decalage2/oletools/wiki/rtfobj)
+RTFファイルからOLEパッケージオブジェクトを検出し、埋め込みファイルを抽出
# C2 Analysis
### Emotet
-- Emotetのc2通信部分のエミュレータ
-[Emutet](https://github.com/d00rt/emotet_network_protocol)
+- [Emutet](https://github.com/d00rt/emotet_network_protocol)
+Emotetのc2通信部分のエミュレータ
+
### Ursnif
- Ursnif(version 2)のc2通信の仕組みと復号ツールについて