From d5343bf6c403eb7327e7555b0271e9be0f09e9de Mon Sep 17 00:00:00 2001
From: mether049 <cstt17009@g.nihon-u.ac.jp>
Date: Sun, 26 Jul 2020 22:28:26 +0900
Subject: [PATCH] Update malware-analysis_ref_and_memo.md

---
 malware-analysis_ref_and_memo.md | 8 ++++++++
 1 file changed, 8 insertions(+)

diff --git a/malware-analysis_ref_and_memo.md b/malware-analysis_ref_and_memo.md
index 984bc83..d7e416e 100644
--- a/malware-analysis_ref_and_memo.md
+++ b/malware-analysis_ref_and_memo.md
@@ -367,6 +367,14 @@ Injecition/Hollowingされたプロセスの自動検出<br>
     - Trickbotの復号に関する記事
 - **[de4dot](https://github.com/0xd4d/de4dot)**
     - .NET系のDeofuscatorおよびUnpacker
+- **[formbook_decrypt_hash_string.py](https://github.com/ThisIsSecurity/malware/tree/master/formbook)**
+    - BZip2 CRC32 hash arrayの復号
+    - formbookの検体内の文字列の復号
+    - formbookがProcess Hollowingに使用するプロセス名の復号
+    - formbookが使用するc2 URIの復号
+    - etc.
+- **[formbook_decode_pcap.py](https://github.com/ThisIsSecurity/malware/tree/master/formbook)**
+    - formbookの通信のデコードプログラム
 
 
 # PDF Analysis