ログオン・ログオフ・起動・シャットダウンに関するWindows イベントログのメモ。 Windows 11で検証。
ログオン・ログオフ・起動・シャットダウンに関するWindows イベントログのメモ
Posted on
Category: Security
Memo on Webshell process tree
Posted on
Tested to see how webshell process tree look like on linux web server.
PIEが有効化されているELFファイルをデバッグする方法のメモ
Posted on
PIEが有効化されているELFファイルをデバッグする方法のメモ。
イベントID 4624とドメインコントローラーのメモ
Posted on
ドメインユーザーがドメイン内のコンピューターにログオンした時、ログオン先のコンピューターだけでなく、ドメインコントローラーにもイベントID (EID) 4624が記録されるのか?と疑問が湧きググってみた。 (検証できればそれが一番いいのだが、手元に検証環境が無かった。)
Alternate Data Stream (ADS) のメモ
Posted on
Alternate Data Stream (ADS) のメモ。
Windows Recent LNK ファイルのメモ
Posted on
Windows Recent LNK ファイル のメモ。
echoでプログラムに入力値を渡した後に引き続き標準入力からプログラムに入力したい時のメモ
Posted on
echoでプログラムに入力値を渡した後に引き続き標準入力からプログラムに入力したい時のメモ。
Xdebugの関数トレースで難読化されたPHPファイルを動的解析する
Posted on
職場の同僚に、Xdebugの関数トレースを使えば難読化されたPHPファイルをお手軽に解析できると教えてもらったのでメモ。
PracticalMalwareAnalysis Lab17-02.dll Full Analysis
Posted on
Practical Malware Analysis (以後、PMA) Lab17-02.dll の詳細解析のメモ。 Lab 17-2 はアンチ・デバッグに焦点が当てられていたが、Lab17-02.dllには他にも多様な機能が実装されており、これらの機能の解析は読者への宿題として詳しくは触れられなかった。 PMAによると以下の機能を擁しているとのこと。 This malware is an extensive backdoor with considerable functionality, including keylogging, capturing audio and video, transferring files, acting as a proxy, retrieving system information, using a reverse command shell, injecting DLLs, and downloading and launching commands. Lab17-02.dllの詳細な解析を試みてみた。 ※自分は本職のマルウェア解析者ではないので、解析内容の正確性については留意されたし。
preg_replaceのe修飾子を用いたPHPコードの難読化のメモ
Posted on
先日、preg_replaceのe修飾子を用いて難読化が施されたPHPコードを目にする機会があったのでメモ。