Update malware-analysis_ref_and_memo.md

2024-06-10 21:32:07 +07:00 · 2020-07-26 22:28:26 +09:00 · 2020-07-26 22:28:26 +09:00 · d5343bf6c4
commit d5343bf6c4
parent a89e213f3b
1 changed files with 8 additions and 0 deletions
--- a/malware-analysis_ref_and_memo.md
+++ b/malware-analysis_ref_and_memo.md
@ -367,6 +367,14 @@ Injecition/Hollowingされたプロセスの自動検出<br>
    - Trickbotの復号に関する記事
 - **[de4dot](https://github.com/0xd4d/de4dot)**
    - .NET系のDeofuscatorおよびUnpacker
+- **[formbook_decrypt_hash_string.py](https://github.com/ThisIsSecurity/malware/tree/master/formbook)**
+    - BZip2 CRC32 hash arrayの復号
+    - formbookの検体内の文字列の復号
+    - formbookがProcess Hollowingに使用するプロセス名の復号
+    - formbookが使用するc2 URIの復号
+    - etc.
+- **[formbook_decode_pcap.py](https://github.com/ThisIsSecurity/malware/tree/master/formbook)**
+    - formbookの通信のデコードプログラム


 # PDF Analysis