Update malware-analysis_ref_and_memo.md

malware-analysis_ref_and_memo.md

@@ -95,13 +95,27 @@
 |Yomi Sandbox|https://yomi.yoroi.company/upload||
 |UnpacMe|https://www.unpac.me/#/|online unpacker,beta|
 
-### Unpacker/Decryptor/Extractor
+### Unpacker/Decryptor/Detector/Extractor
 - 攻撃者グループTA505が利用するマルウェア(GetandGoDll, Silence, TinyMet, Azorult, KBMiner, etc.)の静的アンパッカー<br>
 [TAFOF-Unpacker](https://github.com/Tera0017/TAFOF-Unpacker)
 - Trickbotのartifactを取得するためのdecrypter<br>
 [Trickbot artifact decrypter](https://github.com/snemes/malware-analysis/tree/master/trickbot)
-- Injecition/Hollowingされたプロセスの抽出<br>
-[Memhunter](https://github.com/marcosd4h/memhunter)
+- Injecition/Hollowingされたプロセスの自動検出<br>
+[Memhunter](https://github.com/marcosd4h/memhunter)<br>
+    - メモリダンプが不要で，感染環境でメモリスキャンを行う
+    - メモリスキャンのヒューリスティックトリガーにETWデータを利用している
+    - ETWのSuspicious Eventsとして以下を定義
+> - Process Creattion<br>
+> - Registry Operations<br>
+> - Threads Operations<br>
+> - Virtual Alloc Operations<br>
+> - Image Load Operations<br>
+> - Kernel Audit APIs usage<br>
+> - etc.<br>
+- **ref:**
+    - [Memhunter (Memory resident malware hunting at scale)](https://docs.google.com/presentation/d/1hgx2FTNIkry9Nt8LOJVz_rHNhcGfJChxZVGckv7VI8E/edit#slide=id.g5712e7065f_1_1)
+    - [Reflective DLL Injection Detection through Memhunte,youtube](https://www.youtube.com/watch?v=t_fR1sCENkc)
+    - [Process Hollowing Injection Detection through Memhunter,youtube](https://www.youtube.com/watch?v=QxCguP76uyg)
 
 
 # Doc Analysis