Análise de processos em execução revela processo suspeito se comunicando com endereço IP estrangeiro
Firewall encontrado desabilitado e arquivos característicos do malware Zeus detectados na memória RAM
Múltiplos vestígios apontam para comprometimento da máquina pelo malware bancário Zeus
Nhận viết luận văn Đại học , thạc sĩ - Zalo: 0917.193.864
Tham khảo bảng giá dịch vụ viết bài tại: vietbaocaothuctap.net
Download luận văn đồ án tốt nghiệp ngành công nghệ thông tin với đề tài: Xây dựng ứng dụng Android nghe nhạc offline, cho các bạn làm luận văn tham khảo
Nhận viết luận văn Đại học , thạc sĩ - Zalo: 0917.193.864
Tham khảo bảng giá dịch vụ viết bài tại: vietbaocaothuctap.net
Download luận văn đồ án tốt nghiệp ngành công nghệ thông tin với đề tài: Xây dựng ứng dụng Android nghe nhạc trên internet, cho các bạn làm luận văn tham khảo
Detailed presentation on performance testing and Loadrunner.
Complete course is available on udemy.
Use below link to get the course for just 20 USD
https://www.udemy.com/performance-testing-using-microfocus-loadrunner-basics-advanced/?couponCode=PTLR20D
Nhận viết luận văn Đại học , thạc sĩ - Zalo: 0917.193.864
Tham khảo bảng giá dịch vụ viết bài tại: vietbaocaothuctap.net
Download luận văn đồ án tốt nghiệp ngành công nghiệp thông tin với đề tài: Xây dựng ứng dụng Android xem video trực tuyến, cho các bạn làm luận văn tham khảo
Bài 1: Phát triển ứng dụng trên thiết bị di động Tuan Nguyen
Các thiết bị di động ngày càng thông minh hơn, mạnh mẽ hơn, và đang trở thành một phần không thể thiếu của cuộc sống con người. Điểm thú vị là chúng cung cấp cho chúng ta một nền tảng để có thể viết những ứng dụng thú vị bổ ích trên đó. Môn học này cung cấp cho sinh viên những kiến thức về nền tảng và cách thức lập trình trên thiết bị di động. Để từ đó sinh viên có thể làm chủ công nghệ và phát triển ứng dụng trên một số nền tảng nhất định (J2ME, Android).
Nhận viết luận văn Đại học , thạc sĩ - Zalo: 0917.193.864
Tham khảo bảng giá dịch vụ viết bài tại: vietbaocaothuctap.net
Download luận văn đồ án tốt nghiệp ngành công nghệ thông tin với đề tài: Xây dựng ứng dụng Android nghe nhạc offline, cho các bạn làm luận văn tham khảo
Nhận viết luận văn Đại học , thạc sĩ - Zalo: 0917.193.864
Tham khảo bảng giá dịch vụ viết bài tại: vietbaocaothuctap.net
Download luận văn đồ án tốt nghiệp ngành công nghệ thông tin với đề tài: Xây dựng ứng dụng Android nghe nhạc trên internet, cho các bạn làm luận văn tham khảo
Detailed presentation on performance testing and Loadrunner.
Complete course is available on udemy.
Use below link to get the course for just 20 USD
https://www.udemy.com/performance-testing-using-microfocus-loadrunner-basics-advanced/?couponCode=PTLR20D
Nhận viết luận văn Đại học , thạc sĩ - Zalo: 0917.193.864
Tham khảo bảng giá dịch vụ viết bài tại: vietbaocaothuctap.net
Download luận văn đồ án tốt nghiệp ngành công nghiệp thông tin với đề tài: Xây dựng ứng dụng Android xem video trực tuyến, cho các bạn làm luận văn tham khảo
Bài 1: Phát triển ứng dụng trên thiết bị di động Tuan Nguyen
Các thiết bị di động ngày càng thông minh hơn, mạnh mẽ hơn, và đang trở thành một phần không thể thiếu của cuộc sống con người. Điểm thú vị là chúng cung cấp cho chúng ta một nền tảng để có thể viết những ứng dụng thú vị bổ ích trên đó. Môn học này cung cấp cho sinh viên những kiến thức về nền tảng và cách thức lập trình trên thiết bị di động. Để từ đó sinh viên có thể làm chủ công nghệ và phát triển ứng dụng trên một số nền tảng nhất định (J2ME, Android).
Nhận viết luận văn Đại học , thạc sĩ - Zalo: 0917.193.864
Tham khảo bảng giá dịch vụ viết bài tại: vietbaocaothuctap.net
Download luận văn thạc sĩ ngành công nghệ thông tin với đề tài: Thiết kế, xây dựng hệ thống phần mềm giảng dạy kịch hát dân tộc Trường Đại học Sân khấu điện ảnh, cho các bạn tham khảo
why is redmine? when you are developing should be to controller yourself and team.
Redmine is a great open source project management system, that can make your working smoothly. Quick introduce what is redmine
Giới thiệu, cài đặt, cấu hình squid proxy trên linux
Thực hiện bởi nhóm thiết trình: Chương, Đức, Hiếu, Phúc. Lớp 09CK3 Trường ĐH Khoa Học Tự Nhiên TpHCM
Link Video; http://www.mediafire.com/?nu40dpvovl3
Hoặc
http://www.youtube.com/watch?v=QddqPWj0b9M
http://www.youtube.com/watch?v=b1HFlCQTx98
Lotusphere 2007 BP301 Advanced Object Oriented Programming for LotusScriptBill Buchan
This session starts where the introductory Object Oriented Programming for LotusScript session stops. We'll show advanced encapsulation and inheritance, and demonstrates best practice code reuse with Object Oriented Programming techniques.You'll leave with a fully functional IBM Lotus Notes application containing enterprise features such as error trapping, log levels, code reuse and a far greater understanding of Object Oriented Programming methodology within LotusScript.
Nhận viết luận văn Đại học , thạc sĩ - Zalo: 0917.193.864
Tham khảo bảng giá dịch vụ viết bài tại: vietbaocaothuctap.net
Download luận văn đồ án tốt nghiệp ngành công nghệ thông tin với đề tài: Xây dựng ứng dụng Android đọc báo mạng qua dịch vụ RSS, cho các bạn làm luận văn tham khảo
Developer Special: How to Prepare Applications for Notes 64-bit Clientspanagenda
Webinar Recording: https://www.panagenda.com/webinars/developer-special-how-to-prepare-applications-for-notes-64-bit-clients/
Why 64-bit? Do you need it? Is it painful to switch? Will your applications stop working? Do you have to rewrite everything? Will the new Java 17 break things? We have the answers to these questions and more!
Spoiler warning: 64-bit clients are coming, and your applications are not ready. But not to worry; everything is fixable.
Join this webinar special with Notes development legend and HCL Lifetime Ambassador Julian Robichaux to find out. He will guide you through this journey and give you all the tools, tips, and tricks you need to outmaneuver any dangers and pitfalls. Get started today!
Dive into these 64-bit topics
- HCL guidelines for updating applications
- LotusScript: known issues, patterns to look for, debugger bugs, compiling with older Designers
- API calls: parameters, dealing with structs, NotesSession.UseDoubleAsPointer
- Java: Java 17, added/removed functionalities, compiler settings, XPages
- Eclipse plugins
Nhận viết luận văn Đại học , thạc sĩ - Zalo: 0917.193.864
Tham khảo bảng giá dịch vụ viết bài tại: vietbaocaothuctap.net
Download luận văn thạc sĩ ngành công nghệ thông tin với đề tài: Thiết kế, xây dựng hệ thống phần mềm giảng dạy kịch hát dân tộc Trường Đại học Sân khấu điện ảnh, cho các bạn tham khảo
why is redmine? when you are developing should be to controller yourself and team.
Redmine is a great open source project management system, that can make your working smoothly. Quick introduce what is redmine
Giới thiệu, cài đặt, cấu hình squid proxy trên linux
Thực hiện bởi nhóm thiết trình: Chương, Đức, Hiếu, Phúc. Lớp 09CK3 Trường ĐH Khoa Học Tự Nhiên TpHCM
Link Video; http://www.mediafire.com/?nu40dpvovl3
Hoặc
http://www.youtube.com/watch?v=QddqPWj0b9M
http://www.youtube.com/watch?v=b1HFlCQTx98
Lotusphere 2007 BP301 Advanced Object Oriented Programming for LotusScriptBill Buchan
This session starts where the introductory Object Oriented Programming for LotusScript session stops. We'll show advanced encapsulation and inheritance, and demonstrates best practice code reuse with Object Oriented Programming techniques.You'll leave with a fully functional IBM Lotus Notes application containing enterprise features such as error trapping, log levels, code reuse and a far greater understanding of Object Oriented Programming methodology within LotusScript.
Nhận viết luận văn Đại học , thạc sĩ - Zalo: 0917.193.864
Tham khảo bảng giá dịch vụ viết bài tại: vietbaocaothuctap.net
Download luận văn đồ án tốt nghiệp ngành công nghệ thông tin với đề tài: Xây dựng ứng dụng Android đọc báo mạng qua dịch vụ RSS, cho các bạn làm luận văn tham khảo
Developer Special: How to Prepare Applications for Notes 64-bit Clientspanagenda
Webinar Recording: https://www.panagenda.com/webinars/developer-special-how-to-prepare-applications-for-notes-64-bit-clients/
Why 64-bit? Do you need it? Is it painful to switch? Will your applications stop working? Do you have to rewrite everything? Will the new Java 17 break things? We have the answers to these questions and more!
Spoiler warning: 64-bit clients are coming, and your applications are not ready. But not to worry; everything is fixable.
Join this webinar special with Notes development legend and HCL Lifetime Ambassador Julian Robichaux to find out. He will guide you through this journey and give you all the tools, tips, and tricks you need to outmaneuver any dangers and pitfalls. Get started today!
Dive into these 64-bit topics
- HCL guidelines for updating applications
- LotusScript: known issues, patterns to look for, debugger bugs, compiling with older Designers
- API calls: parameters, dealing with structs, NotesSession.UseDoubleAsPointer
- Java: Java 17, added/removed functionalities, compiler settings, XPages
- Eclipse plugins
Its an open source vulnerability scanner based on Nessus. Very useful in home and small scale companies to implement and check the system, network and devices vulnerabilities.
Palestra realizada por Tony Rodrigues durante a 3a. edição da Nullbyte Security Conference em 26 de novembro de 2016.
Resumo:
Em 2012, dois pesquisadores japoneses elaboraram uma técnica, apresentada na Black Hat Europa do mesmo ano, que consiste em modificar um byte - sem ca usar crash do sistema - a fim de impedir que ferramentas de análise (Volatility, Memoryze e HBGary) consigam entender e posteriormente interpretar um dump de memória. Esta técnica ficou conhecida como Abort Factor. Durante suas pesquisas, Takahiro Haruyama e Hiroshi Suzuki identificaram três operações críticas e comuns nas ferramentas de análise de memória: - Tradução do endereço virtual em kernel space - Identificação do Sistema Operacional e arquitetura do dump - Obtenção de objetos do kernel Dessa forma, através da manipulação de apenas um byte nas estruturas relacionadas a cada um dos itens acima, foi possível tornar esse dump incompreensível para ferramentas de análise forense. Pesquisamos no OctaneLabs a técnica do Abort Factor e demonstraremos como é possível identificar o ataque, bem como reverter/corrigir um dump de memória de uma máquina onde a técnica foi usada.
Post exploitation com análise de dump de memóriaHelvio Junior
Palestra realizada no dia 18/09 no Mind The Sec SP 2018.
Nesta palestra demonstrei passo-a-passo como realizar um captura de informações, pós exploração, para movimentação lateral utilizando técnicas de forense digital com dump de memória.
Ethical hacking: Conceitos básicos de Testes de penetraçãoCleórbete Santos
Apresentação utilizada no minicurso que ministrei durante o II Fórum Tocantinense de Tecnologia da Informação do mestrado em Modelagem computacional da Universidade Federal do Tocantins, que aconteceu no dia 20 de novembro de 2014 em Palmas-TO.
Serão demonstradas diversas técnicas de ataque, tais como: Injeções de codigos,brute force, backdoors, root kits, exploits e várias outras maneiras para acessar e se manter indevidamente a servidores,em contra-partida são discutidas melhores praticas para se
evitar os tipos de ataques citados. (Palestra realizada no 3º Festival de Software livre em belo horizonte - FSLBH)
Análise de Malware em Dump de Memória com Volatility
1. Fórum Internacional de Software Livre
Análise de Malware em Memória
RAM com a Ferramenta Volatility
Eder Luís Oliveira Gonçalves
CISSP, C|EH, OSCP, OSWP, ACE
ederluis1973@gmail.com
http://br.linkedin.com/pub/eder-luis-goncalves/49/8a/791
Análise de Malware em Memória RAM com Volatility - FISL13
2. SUMÁRIO
Conceitos, cenário e informações do “dump”
Análise de processos, situação do firewall e registro
Tempo de criação de cada processo em execução
Pontos de entrada nos registros
Análise das conexões de rede
Varredura nos arquivos em execução
Confirmação de informações do malware na internet
Confirmação do Comprometimento da máquina
Conclusão
Análise de Malware em Memória RAM com Volatility - FISL13 2 de 36
3. Porque Analisar Memória ?
Grande parte das informações presentes em
memória RAM serão perdidas devido a volatilidade;
Volatilidade: Há perda de informação com o
tempo, assim como a capacidade de recuperação ou
validação dos dados, diminuindo a veracidade;
Área de grande quantidade de informações ou
evidências em tempo real, muitas das vezes,
desprezadas pelos administradores de rede.
Análise de Malware em Memória RAM com Volatility - FISL13 3 de 36
4. Ordem de Volatilidade
Dispositivos de Armazenamento do processador
(registradores e caches);
Memória de Periféricos (impressora, video, etc.);
Memória Principal do Sistema (RAM);
Tráfego de Rede;
Estado do Sistema Operacional;
Módulos de Kernel;
Dispositivo de Armazenamento Secundário
(HDs,etc.)
Análise de Malware em Memória RAM com Volatility - FISL13 4 de 36
5. Porque o Framework Volatility ?
O Volatility é uma coletânea de ferramentas
abertas em python formando um framework sob a
licença GNU GPL v2 para a extração de vestígios
digitais voláteis presentes em memória RAM de
máquinas com Sistema Operacional Microsoft
Windows:
- Microsoft Windows XP
- Microsoft Windows 2003, 2008
- Microsoft Windows Vista
- Microsoft Windows 7
Análise de Malware em Memória RAM com Volatility - FISL13 5 de 36
6. O que é Possível Extrair ?
Processos em execução;
Sockets de rede;
Conexões abertas de rede;
Arquivos e DLLs carregados para cada processo;
Registros utilizados para cada processo;
Módulos de Kernel do Sistema Operacional;
Mapeamento de Endereços físicos e virtuais;
Mapa de Memória de cada processo.
Análise de Malware em Memória RAM com Volatility - FISL13 6 de 36
7. Cenário e Ambientação
O time de segurança e/ou resposta a incidentes
de uma grande instituição confirmou a notificação de
que uma máquina com sistema operacional
Microsoft Windows possuía atividades anormais na
rede, detectadas pelo Intrusion Detection System
(IDS), o que poderia caracterizar um possível
comprometimento.
Análise de Malware em Memória RAM com Volatility - FISL13 7 de 36
8. Cenário e Ambientação (cont.)
a) A equipe de coleta foi designada ao local das
evidências e coletou o “dump” de memória da
máquina que permanecia ligada por meio da
ferramenta da Empresa Access Data FTK Image
disponível de forma gratuita pela mesma gerando o
arquivo de “dump” de memória com o nome:
“dumpmemoria.vmem” em 15/08/2010 ás 19:17:56;
b) Você como da equipe de análise de “malware”
deverá desvendar este mistério e descobrir que tipo
de comprometimento poderá ter submetido á
máquina.
Análise de Malware em Memória RAM com Volatility - FISL13 8 de 36
9. Cenário e Ambientação (cont.)
A ferramenta de análise foi baixada por você no
site: http://www.volatilesystems.com/default/volatility
A ferramenta foi descompactada no diretório /opt
do seu Linux e esta pronta para ser utilizada no
diretório:
/opt/volatility-2.0/
Análise de Malware em Memória RAM com Volatility - FISL13 9 de 36
10. Informações do Dump
./vol.py -f dumpmemoria.vmem imageinfo
Análise de Malware em Memória RAM com Volatility - FISL13 10 de 36
11. Análise dos Processos
Primeira tarefa da análise de processos:
Analisar os processos que estavam rodando
na máquina no exato momento do “dump” de
memória a fim de se encontrar algum processo
diferente do padrão do Sistema Operacional.
Análise de Malware em Memória RAM com Volatility - FISL13 11 de 36
12. Processos em Execução
./vol.py -f dumpmemoria.vmem pslist
Análise de Malware em Memória RAM com Volatility - FISL13 12 de 36
13. Processo por Ordem de Chamada
./vol.py -f dumpmemoria.vmem pstree
Análise de Malware em Memória RAM com Volatility - FISL13 13 de 36
14. Localiza alocação da Memória
pelo Processo
./vol.py -f dumpmemoria.vmem psscan
Análise de Malware em Memória RAM com Volatility - FISL13 14 de 36
15. Análise dos Processos
Segunda tarefa da análise dos processos:
Analisar os SID dos usuários pertencentes a
cada processo se mostram alguma coisa de
anormal na operação do Sistema Operacional.
Terceira tarefa da análise dos processos:
Analisar se existe algum usuário dono de um
processo que não é o padrão da máquina ou
da politíca de segurança da instituição.
Análise de Malware em Memória RAM com Volatility - FISL13 15 de 36
16. SID de cada Processo
./vol.py -f dumpmemoria.vmem getsids
Análise de Malware em Memória RAM com Volatility - FISL13 16 de 36
17. Análise dos Processos e DLL
Quarta tarefa:
Analisar as DLL utilizadas ou referenciadas por
cada processo se apresentam alguma anomalia
em tempo de execução.
Análise de Malware em Memória RAM com Volatility - FISL13 17 de 36
18. DLLs em Utilização por Processo
./vol.py -f dumpmemoria.vmem dlllist
Análise de Malware em Memória RAM com Volatility - FISL13 18 de 36
19. Pontos de Entrada em Registros
Uma boa fonte de pesquisa de evidências em
dump de memória é analisar os pontos de entrada
das chaves de registro presentes no Sistema;
Uma preciosa lista de todas as chaves de entrada
do S.O. “Microsoft Windows” pode ser consulta em:
http://www.silentrunners.org/sr_launchpoints.html
Análise de Malware em Memória RAM com Volatility - FISL13 19 de 36
20. Situação do Firewall da Máquina
./vol.py printkey -f dumpmemoria.vmem -K
'ControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfile'
Firewall Desabilitado: REG_DWORD EnableFirewall: 0
Análise de Malware em Memória RAM com Volatility - FISL13 20 de 36
21. Data de Alteração
Security Accounts Manager (SAM)
Usuario$ ./vol.py printkey -f dumpmemoria.vmem userassist
Análise de Malware em Memória RAM com Volatility - FISL13 21 de 36
22. Alterações de Perfil existentes
./vol.py printkey -f dumpmemoria.vmem -K
'SoftwareMicrosoftWindowsCurrentVersionRun'
Análise de Malware em Memória RAM com Volatility - FISL13 22 de 36
23. Última Alteração de Perfil
./vol.py printkey -f dumpmemoria.vmem -K 'SoftwareMicrosoftWindows
NTCurrentVersionWindows'
Impressora fez a última atualização de perfil do sistema operacional
presente nos vestígios da memória RAM
Análise de Malware em Memória RAM com Volatility - FISL13 23 de 36
24. Conexões de Rede no momento
do dump de memória
./vol.py -f dumpmemoria.vmem connections
–> No momento da realização do dump de memória a máquina não
possuía nenhuma conexão de rede estabelecida, o que novamente
não nos dá nenhuma pista da presença de algum malware, o próximo
passo é analisar se houve alguma conexão de rede estabelecida
previamente encerrada que ainda consta nos registros da memória.
Análise de Malware em Memória RAM com Volatility - FISL13 24 de 36
25. Conexões de Rede
previamente encerradas
./vol.py -f dumpmemoria.vmem connscan
–> Interessante, pois percebe-se que existe presença na memória de
conexões que foram estabelecidas recentemente para o endereço IP
193.104.41.75 pela porta 80.
Análise de Malware em Memória RAM com Volatility - FISL13 25 de 36
26. Origem das Conexões
“Whois” revela um destino suspeito “República da
Moldova”, totalmente inadequado ao padrão de acesso
da máquina ou a política de segurança da instituição .
Análise de Malware em Memória RAM com Volatility - FISL13 26 de 36
27. Consulta IP na Internet
Fazendo uma busca no Oráculo “google” para
verificarmos se este IP nos leva para alguma suspeita,
verificamos que sim, isto é indícios do malware ZEUS.
Análise de Malware em Memória RAM com Volatility - FISL13 27 de 36
28. Dúvida
Até o presente momento, encontramos vestígios da
presença do malware ZEUS presente em memória
RAM da máquina analisada, mas por mais que
tenhamos as evidências de conexão, devemos entender
um pouco melhor das características deste Malware
a fim de encontrarmos mais vestígios e poder afirmar
que realmente este equipamento estava comprometido
com o malware.
Análise de Malware em Memória RAM com Volatility - FISL13 28 de 36
29. Entendendo malware Zeus
De acordo com o boletim da “Microsoft” no “google”
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=PWS%3AWin32%2FZbot.QW
Análise de Malware em Memória RAM com Volatility - FISL13 29 de 36
30. Entendendo o malware Zeus
O “Zeus ou Zbot” é um trojan que rouba nomes e
senhas de acessos a internet relacionados a “internet
banking” bem como permite um atacante remoto acessar
um backdoor deixado ou presente na máquina;
Desabilita o firewall da máquina;
Geralmente disseminado por e-mail por meio de SPAM;
Cria um arquivo com nome mutex “AVIRA_210X” que
realiza um “bypass” no firewall para depois ser copiado
com um arquivo de nome “sdra64.exe” de forma
escondida para o Sistema Operacional;
Análise de Malware em Memória RAM com Volatility - FISL13 30 de 36
31. Entendendo malware Zeus
(cont.)
Modifica as entradas de registro do windows para que o
arquivo autoexec.bat rode o malware toda vez que o sistema
operacional reiniciar
Adds value: "ParseAutoexec"
With data: "1"
To subkey: HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogon
Conecta-se no IP 193.104.41.75 para baixar o arquivo de
configuração do malware e salva como local.ds onde irá
conter diversos sites relacionados a internet banking;
Armazena as informações roubadas no arquivo user.ds;
Análise de Malware em Memória RAM com Volatility - FISL13 31 de 36
32. Vestígios do Malware Zeus
Procurando na memória vestígios do Zeus encontramos o
malware para a confirmação da suspeita.
Análise de Malware em Memória RAM com Volatility - FISL13 32 de 36
33. Vestígios do Malware ZEUS
./vol.py -f dumpmemoria.vmem filescan | egrep -i 'sdra64|user.ds|local.ds|AVIRA'
Arquivos e diretórios suspeitos, caracterizando a presença de
malware “ZEUS” na máquina.
Análise de Malware em Memória RAM com Volatility - FISL13 33 de 36
34. Conclusão
Mediante todos os aspectos analisados no boletim da
Microsoft, podemos com certeza afirmar a presença do
malware, haja vista termos conseguido encontrar
diversos vestígios importantes relacionados ao ZEUS:
Firewall Desabilitado;
Presença dos arquivos de controle do malware:
“user.ds”, “local.ds”;
Presença do arquivo de ativação do malware
“sdra64.exe”;
Conexões realizadas ao controle de IP 193.104.41.75
Análise de Malware em Memória RAM com Volatility - FISL13 34 de 36
35. Conclusão (cont.)
Pense duas vezes antes de desligar uma máquina
ou querer formatá-la, pois sempre há grande
quantidade de vestígios ou informação que possa
ser analisada para elucidar os fatos.
Análise de Malware em Memória RAM com Volatility - FISL13 35 de 36
36. Obrigado
EDER LUÍS OLIVEIRA GONÇALVES
CISSP, C|EH, OSCP, OSWP, ACE
ederluis1973@gmail.com
http://br.linkedin.com/pub/eder-luis-goncalves/49/8a/791
Análise de Malware em Memória RAM com Volatility - FISL13 36 de 36
37. Referências Bibliográficas
https://malwarereversing.wordpress.com/2011/09/23/zeus-analysis-in-volatility-2-0/
http://code.google.com/volatility/wiki/CommandReference
http://www.volatilesystems.com/default/volatility
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=PWS%3AWin
http://www.wikipedia.org
http://computerforensikblog.de/en/
Análise de Malware em Memória RAM com Volatility - FISL13 37 de 36