diff --git a/malware-analysis_ref_and_memo.md b/malware-analysis_ref_and_memo.md index 0b3be54..2cfc962 100644 --- a/malware-analysis_ref_and_memo.md +++ b/malware-analysis_ref_and_memo.md @@ -318,7 +318,7 @@ Injecition/Hollowingされたプロセスの自動検出
- VBA Stompingの検出ツール - p-codeで利用される関数名,変数名,文字列,コメント等を出力 - pcodedmpとolevbaを利用している -- **[CMD Watcher]** +- **[CMD Watcher](http://www.kahusecurity.com/posts/cmd_watcher_and_maldocs.html)** - マクロによって実行されるpowershell,cmd,wscript,rundllのコマンドがCMD Watcherに出力される - コマンドをキャプチャした際に自動的にプロセスを終了させる - **[ole tools](https://github.com/decalage2/oletools/wiki)** @@ -346,7 +346,7 @@ Injecition/Hollowingされたプロセスの自動検出
- LinuxでPS,VBの動的解析 - [.NET Core](https://docs.microsoft.com/ja-jp/dotnet/core/install/linux-package-manager-ubuntu-1604) - [PowerShell Core(PowerShell 7+)](https://docs.microsoft.com/ja-jp/powershell/scripting/install/installing-powershell-core-on-windows?view=powershell-7) - - LibreOffice + - [LibreOffice](https://ja.libreoffice.org/) - ref: - [vbastomp.com](https://vbastomp.com/) - [Advanced VBA Macros Attack&Defence,BHEU2019](https://www.decalage.info/files/eu-19-Lagadec-Advanced-VBA-Macros-Attack-And-Defence.pdf)