Update malware-analysis_ref_and_memo.md

malware-analysis_ref_and_memo.md

@@ -124,27 +124,28 @@ DFIR,マルウェア解析，OSINTに特化したUbuntuベースのディスト
 |UnpacMe|https://www.unpac.me/#/|online unpacker,beta|
 
 ### Unpacker/Decryptor/Decoder/Extractor/Memory Scanner
-- 攻撃者グループTA505が利用するマルウェア(GetandGoDll, Silence, TinyMet, Azorult, KBMiner, etc.)の静的アンパッカー<br>
+- [TAFOF-Unpacker](https://github.com/Tera0017/TAFOF-Unpacker)<br>
-[TAFOF-Unpacker](https://github.com/Tera0017/TAFOF-Unpacker)
+攻撃者グループTA505が利用するマルウェア(GetandGoDll, Silence, TinyMet, Azorult, KBMiner, etc.)の静的アンパッカー<br>
-- Trickbotのartifactを取得するためのdecrypter<br>
+- [Trickbot artifact decrypter](https://github.com/snemes/malware-analysis/tree/master/trickbot)<br>
-[Trickbot artifact decrypter](https://github.com/snemes/malware-analysis/tree/master/trickbot)
+Trickbotのartifactを取得するためのdecrypter<br>
-- マルウェアサンプルやメモリダンプの自動分析(コードインジェクションの抽出，プロセスダンプ，yaraスキャン，文字列の抽出)<br>
+- [VolatilityBot](https://github.com/mkorman90/VolatilityBot)<br>
-[VolatilityBot](https://github.com/mkorman90/VolatilityBot)<br>
+マルウェアサンプルやメモリダンプの自動分析(コードインジェクションの抽出，プロセスダンプ，yaraスキャン，文字列の抽出)<br>
-- IoCスキャナー(パス・ファイル名の正規表現マッチ，ファイルとプロセスメモリのyaraスキャン，hashマッチ，c2 IoCスキャン，PE-Sieve)<br>
+- [Loki - Simple IOC Scanner](https://github.com/Neo23x0/Loki)<br>
-[Loki - Simple IOC Scanner](https://github.com/Neo23x0/Loki)<br>
+IoCスキャナー(パス・ファイル名の正規表現マッチ，ファイルとプロセスメモリのyaraスキャン，hashマッチ，c2 IoCスキャン，PE-Sieve)<br>
-- FireEye Labsの静的解析分析技術を利用して，難読化された文字列を自動的に検知，抽出，デコード<br>
+- [flare-floss](https://github.com/fireeye/flare-floss)<br>
-[flare-floss](https://github.com/fireeye/flare-floss)<br>
+FireEye Labsの静的解析分析技術を利用して，難読化された文字列を自動的に検知，抽出，デコード<br>
-- Process Hollowing,Injectionされた特定のプロセスをダンプ<br>
+- [PE-Sieve](https://github.com/hasherezade/pe-sieve)<br>
-[PE-Sieve](https://github.com/hasherezade/pe-sieve)<br>
+Process Hollowing,Injectionされた特定のプロセスをダンプ<br>
-- PE-Sieveを使用してシステム全体をスキャン<br>
+- [HollowsHunter](https://github.com/hasherezade/hollows_hunter)<br>
-[HollowsHunter](https://github.com/hasherezade/hollows_hunter)<br>
+PE-Sieveを使用してシステム全体をスキャン<br>
-- ファイルやプロセスメモリ内の文字列の抽出<br>
+- [strings2](http://split-code.com/strings2.html)<br>
-[strings2](http://split-code.com/strings2.html)<br>
+ファイルやプロセスメモリ内の文字列の抽出<br>
-- 文字列，正規表現でプロセスメモリをスキャン<br>
+- [mnemosyne](https://github.com/nccgroup/mnemosyne)<br>
-[mnemosyne](https://github.com/nccgroup/mnemosyne)<br>
+文字列，正規表現でプロセスメモリをスキャン<br>
-[Memory Scraping for Fun & Profit - Matt Lewis, NCC Group at CRESTCon & IIP Congress,youtube](https://www.youtube.com/watch?v=5HdYcE-woDc)
+    - **ref:**<br>
-- Injecition/Hollowingされたプロセスの自動検出<br>
+        - [Memory Scraping for Fun & Profit - Matt Lewis, NCC Group at CRESTCon & IIP Congress,youtube](https://www.youtube.com/watch?v=5HdYcE-woDc)
-[Memhunter](https://github.com/marcosd4h/memhunter)<br>
+- [Memhunter](https://github.com/marcosd4h/memhunter)<br>
+Injecition/Hollowingされたプロセスの自動検出<br>
     - **ref:**<br>
         - [Memhunter (Memory resident malware hunting at scale)](https://docs.google.com/presentation/d/1hgx2FTNIkry9Nt8LOJVz_rHNhcGfJChxZVGckv7VI8E/edit#slide=id.g5712e7065f_1_1)<br>
         - [Reflective DLL Injection Detection through Memhunte,youtube](https://www.youtube.com/watch?v=t_fR1sCENkc)<br>
@@ -164,13 +165,14 @@ DFIR,マルウェア解析，OSINTに特化したUbuntuベースのディスト
 # Doc Analysis
 - VBA マクロの解析についての資料<br>
 [Advanced VBA Macros Attack&Defence,BHEU2019](https://www.decalage.info/files/eu-19-Lagadec-Advanced-VBA-Macros-Attack-And-Defence.pdf)<br>
-- RTFファイルからOLEパッケージオブジェクトを検出し、埋め込みファイルを抽出<br>
+- [rtfobj](https://github.com/decalage2/oletools/wiki/rtfobj)<br>
-[rtfobj](https://github.com/decalage2/oletools/wiki/rtfobj)<br>
+RTFファイルからOLEパッケージオブジェクトを検出し、埋め込みファイルを抽出<br>
 
 # C2 Analysis
 ### Emotet
-- Emotetのc2通信部分のエミュレータ<br>
+- [Emutet](https://github.com/d00rt/emotet_network_protocol)<br>
-[Emutet](https://github.com/d00rt/emotet_network_protocol)<br>
+Emotetのc2通信部分のエミュレータ<br>
+
 
 ### Ursnif
 - Ursnif(version 2)のc2通信の仕組みと復号ツールについて<br>