From fb47c0a89deeee39c3abf583ae58876933546386 Mon Sep 17 00:00:00 2001 From: mether049 Date: Fri, 20 Mar 2020 15:06:13 +0900 Subject: [PATCH] Update malware-analysis_ref_and_memo.md --- malware-analysis_ref_and_memo.md | 2 ++ 1 file changed, 2 insertions(+) diff --git a/malware-analysis_ref_and_memo.md b/malware-analysis_ref_and_memo.md index f3f82ac..a83ed21 100644 --- a/malware-analysis_ref_and_memo.md +++ b/malware-analysis_ref_and_memo.md @@ -223,6 +223,7 @@ DFIR,マルウェア解析,OSINTに特化したUbuntuベースのディスト - [010 Editorに組み込むことも可能](https://www.sweetscape.com/010editor/repository/scripts/file_info.php?file=RateStrings.1sc&type=1&sort=) - ref: - [Learning to Rank Strings Output for Speedier Malware Analysis](https://www.fireeye.com/blog/threat-research/2019/05/learning-to-rank-strings-output-for-speedier-malware-analysis.html) +- **exiftool** - **wql** - wqlで子プロセスの検索 @@ -388,6 +389,7 @@ Injecition/Hollowingされたプロセスの自動検出
### lnk file - **[LnkParse](https://pypi.org/project/LnkParse3/)** - .lnkファイルのパーサ +- exiftoolでもパース可能 - [[MS-SHLLINK]: Shell Link (.LNK) Binary File Format](https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-shllink/16cb4ca1-9339-4d0c-a68d-bf1d6cc0f943?redirectedfrom=MSDN) - .lnkファイルのバイナリフォーマット