PEファイルについての覚書

MORE »

Practical Malware AnalysisのChapter 13に載っていたBase64エンコードの図が視覚的にわかりやすかったので、引用してみました。

MORE »

フォレンジック調査ツール RedlineのTIP。何かあったら都度更新予定

WindowsイベントログからIPアドレス情報を含んでいるネットワーク・ログオン関連のイベントを検索する
Windows EventLogのMessageカラムからregexを選択して以下のフィルタを入れる
Source Network Address:\s[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.
Microsoft Word STARTUPフォルダには、Wordのテンプレートやアドインが格納されており、Wordは起動時にSTARTUPフォルダ配下のファイルを読み込みます。

STARTUPフォルダのパスは以下の通り

C:\Users\[User name]\AppData\Roaming\Microsoft\Word\STARTUP

Microsoft Word STARTUPフォルダに不正なファイルを配置しておくと、Wordが起動するたびに不正なファイルがWordプログラムによって読み込まれます。

自分の知るケースだと、不正なDLLをWLLファイルと偽り(といっても拡張子を.WLLに変更しただけ)Microsoft Word STARTUPフォルダに配置して、Wordプログラムに読み込ませるというものがありました。

以上。

参考
https://wordaddins.com/support/how-to-find-the-word-startup-folder/

 | HOME |  »

奇妙な風景 Unique Scene
<< >>

プロフィール


最新記事


最新コメント


最新トラックバック


月別アーカイブ


カテゴリ


スポンサード リンク


FC2カウンター


検索フォーム


RSSリンクの表示


リンク


ブロとも申請フォーム


QRコード