1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00

Update malware-analysis_ref_and_memo.md

This commit is contained in:
mether049 2020-02-23 02:07:17 +09:00 committed by GitHub
parent 9a388747ae
commit d6e4a3db79
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -245,7 +245,7 @@ Emotetのc2通信部分のエミュレータ<br>
- OEPの特定し,OEPまで実行 - OEPの特定し,OEPまで実行
- pushad命令popad命令に着目。popad命令後のjmpでOEPに遷移する可能性がある(pushadした際のスタックのアドレスにハードウェアブレークポイントを設定することで監視) - pushad命令popad命令に着目。popad命令後のjmpでOEPに遷移する可能性がある(pushadした際のスタックのアドレスにハードウェアブレークポイントを設定することで監視)
- 動的に生成された領域に着目(領域にアクセスし,実行されるかをメモリブレークポイントを設定することで監視) - 動的に生成された領域に着目(領域にアクセスし,実行されるかをメモリブレークポイントを設定することで監視)
- WinMainCRTStarupWinMainや関数のプロローグとの類似性からヒューリスティックに判断 - WinMainCRTStartupWinMainとの類似性からヒューリスティックに判断
- ツールを利用 - ツールを利用
- プロセスメモリのダンプ - プロセスメモリのダンプ
- 基本的にツールを用いる - 基本的にツールを用いる