ドメインユーザーがドメイン内のコンピューターにログオンした時、ログオン先のコンピューターだけでなく、ドメインコントローラーにもイベントID (EID) 4624が記録されるのか?と疑問が湧きググってみた。 (検証できればそれが一番いいのだが、手元に検証環境が無かった。)
Category: Security
Alternate Data Stream (ADS) のメモ
Alternate Data Stream (ADS) のメモ。
Windows Recent LNK ファイルのメモ
Windows Recent LNK ファイル のメモ。
echoでプログラムに入力値を渡した後に引き続き標準入力からプログラムに入力したい時のメモ
echoでプログラムに入力値を渡した後に引き続き標準入力からプログラムに入力したい時のメモ。
Xdebugの関数トレースで難読化されたPHPファイルを動的解析する
職場の同僚に、Xdebugの関数トレースを使えば難読化されたPHPファイルをお手軽に解析できると教えてもらったのでメモ。
PracticalMalwareAnalysis Lab17-02.dll Full Analysis
Practical Malware Analysis (以後、PMA) Lab17-02.dll の詳細解析のメモ。 Lab 17-2 はアンチ・デバッグに焦点が当てられていたが、Lab17-02.dllには他にも多様な機能が実装されており、これらの機能の解析は読者への宿題として詳しくは触れられなかった。 PMAによると以下の機能を擁しているとのこと。 This malware is an extensive backdoor with considerable functionality, including keylogging, capturing audio and video, transferring files, acting as a proxy, retrieving system information, using a reverse command shell, injecting DLLs, and downloading and launching commands. Lab17-02.dllの詳細な解析を試みてみた。 ※自分は本職のマルウェア解析者ではないので、解析内容の正確性については留意されたし。
preg_replaceのe修飾子を用いたPHPコードの難読化のメモ
先日、preg_replaceのe修飾子を用いて難読化が施されたPHPコードを目にする機会があったのでメモ。
PracticalMalwareAnalysis-Labs21 WriteUp
Practical Malware Analysis (by Michael Sikorski and Andrew Honig) Lab21のWriteUp。まずは自分の解答を載せて、最後に模範解答を載せる。不正解の解答も戒めとしてそのまま載せる事とする。ラボはこちらからダウンロード可能。 ちなみに、これが最終のラボになる。
PracticalMalwareAnalysis-Labs20 WriteUp
Practical Malware Analysis (by Michael Sikorski and Andrew Honig) Lab20のWriteUp。まずは自分の解答を載せて、最後に模範解答を載せる。不正解の解答も戒めとしてそのまま載せる事とする。ラボはこちらからダウンロード可能。
PracticalMalwareAnalysis-Labs19 WriteUp
Practical Malware Analysis (by Michael Sikorski and Andrew Honig) Lab19のWriteUp。まずは自分の解答を載せて、最後に模範解答を載せる。不正解の解答も戒めとしてそのまま載せる事とする。ラボはこちらからダウンロード可能。