From d6e4a3db79c38df97f52d3a052292eb3cf4d7cbf Mon Sep 17 00:00:00 2001 From: mether049 Date: Sun, 23 Feb 2020 02:07:17 +0900 Subject: [PATCH] Update malware-analysis_ref_and_memo.md --- malware-analysis_ref_and_memo.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/malware-analysis_ref_and_memo.md b/malware-analysis_ref_and_memo.md index 7e0cf82..bd71384 100644 --- a/malware-analysis_ref_and_memo.md +++ b/malware-analysis_ref_and_memo.md @@ -245,7 +245,7 @@ Emotetのc2通信部分のエミュレータ
- OEPの特定し,OEPまで実行 - pushad命令,popad命令に着目。popad命令後のjmpでOEPに遷移する可能性がある(pushadした際のスタックのアドレスにハードウェアブレークポイントを設定することで監視) - 動的に生成された領域に着目(領域にアクセスし,実行されるかをメモリブレークポイントを設定することで監視) - - WinMainCRTStarup,WinMainや関数のプロローグとの類似性からヒューリスティックに判断 + - WinMainCRTStartup,WinMainとの類似性からヒューリスティックに判断 - ツールを利用 - プロセスメモリのダンプ - 基本的にツールを用いる