update for v0.0.2

JPCERTCC · Feb 10, 2020 · 18ec22e · 18ec22e
1 parent 23d0b07
commit 18ec22e
Show file tree

Hide file tree

Showing 6 changed files with 678 additions and 150 deletions.
diff --git a/README.md b/README.md
@@ -1,5 +1,8 @@
 # EmoCheck
 
+[![GitHub release](https://img.shields.io/github/release/jpcertcc/emocheck.svg)](https://github.com/jpcertcc/emocheck/releases)
+[![Github All Releases](https://img.shields.io/github/downloads/jpcertcc/emocheck/total.svg)](http://www.somsubhra.com/github-release-stats/?username=jpcertcc&repository=emocheck)
+
 Emotet detection tool for Windows OS.
 
 ## How to use
@@ -10,48 +13,104 @@ Emotet detection tool for Windows OS.
 
 ## Download
 
-Please download from [Releases](https://github.com/JPCERTCC/EmoCheck/releases) page.
+Please download from the [Releases](https://github.com/JPCERTCC/EmoCheck/releases) page.
+
+Latest hash:  
 
 > emocheck_x86.exe  
->   MD5   : 9508DACDF443B422D159160E02043045  
->   SHA256: 3F9BEFD9287923A844FA7F38DEADFE2238380398E1F4F4C902A18CD4CCF1BFA0  
+>   MD5   : 89863A79D531E2730D450F2D1C99EB6C  
+>   SHA256: 5A459538DE0A5B1C270C0617191A71D23EA6C705650761EF9B7095A736AF7301  
 
 > emocheck_x64.exe  
->   MD5   : 9E1B8BE8402A51B8FEE0B590B4965060  
->   SHA256: C8CC438BF271DFAA110C58C748C54175823269DA7202EA19FC75EEEA359FAEB5  
+>   MD5   : 94005A6447CA810619FF24D67EF67A93  
+>   SHA256: 65838C35D03FE36E9DBA1408E2278F8BC282B1319FEFAABEE4491B45E1254163  
+
+## Command options
+
+(since v0.0.2)  
+
+- Specify output directory for the report (default: current directory)
+  - `/output [your output directory]` or `-output [your output directory]`
+- No console output
+  - `/quiet` or `-quiet`
+- Export the report in JSON style
+  - `/json` or `-json`
+- Debug mode (no report)
+  - `/debug` or `-debug`
+- Show help
+  - `/help` or `-help`
 
 ## How EmoCheck detects Emotet
 
-Emotet generates their process name from a specific word dictionary and C drive serial.
+(v0.0.1)  
+Emotet generates their process name from a specific word dictionary and C drive serial number.
 EmoCheck scans the running process on the host, and find Emotet process from their process name.
 
+(added in v0.0.2)  
+Emotet keeps their encoded process name in a specific registry key.
+EmoCheck looks up and decode the registry value, and find it from the process list.  
+
 ## Sample Report
 
+Text stlye:  
+
 ```txt
-[Emocheck v0.0.1]
-Scan time: 2020-02-03 13:06:20
+[Emocheck v0.0.2]
+Scan time: 2020-02-10 13:06:20
 ____________________________________________________
 
-[Result] 
+[Result]
 Detected Emotet process.
 
-[Emotet Process] 
-     Process Name  : khmerbid.exe
-     Process ID    : 10508
-     Image Path    : C:\Users\[username]\AppData\Local\khmerbid.exe
+[Emotet Process]
+     Process Name  : mstask.exe
+     Process ID    : 716
+     Image Path    : C:\Users\[username]\AppData\Local\mstask.exe
 ____________________________________________________
 
 Please remove or isolate the suspicious execution file.
 ```
 
+JSON style (added in v0.0.2):  
+
+```json
+{
+  "scan_time":"2020-02-10 13:06:20",
+  "hostname":"[your hostname]",
+  "emocheck_version":"0.0.2",
+  "is_infected":"yes",
+  "emotet_processes":[
+    {
+       "process_name":"mstask.exe",
+       "process_id":"716",
+       "image_path":"C:\\Users\\[username]\\AppData\\Local\\mstask.exe"
+    }
+  ]
+}
+```
+
 The report will be exported to the following path.
 
-- [path of emocheck.exe]\yyyymmddhhmmss_emocheck.txt
+(v0.0.1)  
+`[current directory]\yyyymmddhhmmss_emocheck.txt`
+
+(since v0.0.2)  
+`[output path]\[computer name]_yyyymmddhhmmss_emocheck.txt`  
+`[output path]\[computer name]_yyyymmddhhmmss_emocheck.json`
 
 ## Screenshot
 
+(v0.0.1)  
 <div align="left"><img src="./img/report_en.png"></div>
 
+## Releases
+
+- (Feb. 3, 2020) v0.0.1
+  - Initial release
+- (Feb. 10, 2020) v0.0.2
+  - update detecting method
+  - add options
+
 ## Notes
 
 ### Tested environments

diff --git a/README_jp.md b/README_jp.md
@@ -1,62 +1,115 @@
 # EmoCheck
 
-Windows OS 向け Emotet 検知ツール
+[![GitHub release](https://img.shields.io/github/release/jpcertcc/emocheck.svg)](https://github.com/jpcertcc/emocheck/releases)
+[![Github All Releases](https://img.shields.io/github/downloads/jpcertcc/emocheck/total.svg)](http://www.somsubhra.com/github-release-stats/?username=jpcertcc&repository=emocheck)
+
+Windows OS 用 Emotet 検知ツール
 
 ## 使用方法
 
 1. Releases からツールをダウンロード
 2. 感染が疑われるホストでツールを実行
-3. 出力されるレポートテキストを確認
+3. 出力されるレポートを確認
 
 ## ダウンロード
 
 以下のページからダウンロードできます。
 
- [Release](https://github.com/JPCERTCC/EmoCheck/releases)
+ [Releases](https://github.com/JPCERTCC/EmoCheck/releases)
 
 なお、ファイルのハッシュ値は以下の通りです。
 
 > emocheck_x86.exe  
->   MD5   : 9508DACDF443B422D159160E02043045  
->   SHA256: 3F9BEFD9287923A844FA7F38DEADFE2238380398E1F4F4C902A18CD4CCF1BFA0  
+>   MD5   : 89863A79D531E2730D450F2D1C99EB6C  
+>   SHA256: 5A459538DE0A5B1C270C0617191A71D23EA6C705650761EF9B7095A736AF7301 
 
 > emocheck_x64.exe  
->   MD5   : 9E1B8BE8402A51B8FEE0B590B4965060  
->   SHA256: C8CC438BF271DFAA110C58C748C54175823269DA7202EA19FC75EEEA359FAEB5  
+>   MD5   : 94005A6447CA810619FF24D67EF67A93  
+>   SHA256: 65838C35D03FE36E9DBA1408E2278F8BC282B1319FEFAABEE4491B45E1254163  
+
+## コマンドオプション
+
+(v0.0.2 追加)  
+
+- レポート出力先ディレクトリ指定 (デフォルト: カレントディレクトリ)
+  - `/output [出力先ディレクトリ]` または `-output [出力先ディレクトリ]`
+- コマンドライン出力抑止
+  - `/quiet` または `-quiet`
+- JSON形式でのレポート出力
+  - `/json` または `-json`
+- 詳細表示（レポート出力なし）
+  - `/debug` または `-debug`
+- ヘルプ表示
+  - `/help` または `-help`
 
 ## Emotetの検知方法
 
-EmoCheck ではホストのプロセス名から Emotet のプロセスを検知します。
+EmoCheck はホスト上のプロセス一覧から Emotet のプロセスを検知します。
 
 ## レポート例
 
-Emotetが検知された場合、以下のようなレポートが作成されます。
+Emotetが検知された場合、以下のようなレポートが作成されます。  
+
+テキスト形式:  
 
 ```txt
-[Emocheck v0.0.1]
-プログラム実行時刻: 2020-02-03 13:45:51
+[Emocheck v0.0.2]
+プログラム実行時刻: 2020-02-10 10:45:51
 ____________________________________________________
 
 [結果]
 Emotetを検知しました
 
 [詳細]
-     プロセス名    : khmerbid.exe
-     プロセスID    : 6132
-     イメージパス  : C:\Users\[username]\AppData\Local\khmerbid.exe
+     プロセス名    : mstask.exe
+     プロセスID    : 716
+     イメージパス  : C:\Users\[ユーザー名]\AppData\Local\mstask.exe
 ____________________________________________________
 
-イメージパスの実行ファイルを隔離/削除してください。
+不審なイメージパスの実行ファイルを隔離/削除してください。
+```
+
+JSON形式 (v0.0.2 追加):  
+
+```json
+{
+  "scan_time":"2020-02-10 10:45:51",
+  "hostname":"[ホスト名]",
+  "emocheck_version":"0.0.2",
+  "is_infected":"yes",
+  "emotet_processes":[
+    {
+       "process_name":"mstask.exe",
+       "process_id":"716",
+       "image_path":"C:\\Users\\[ユーザー名]\\AppData\\Local\\mstask.exe"
+    }
+  ]
+}
 ```
 
 レポートは以下のパスに生成されます。
 
-- [emocheck.exe を実行したフォルダー]\yyyymmddhhmmss_emocheck.txt
+(v0.0.1)  
+`[カレントディレクトリ]\yyyymmddhhmmss_emocheck.txt`
+
+(v0.0.2 以降)  
+`[指定ディレクトリ]\[ホスト名]_yyyymmddhhmmss_emocheck.txt`  
+`[指定ディレクトリ]\[ホスト名]_yyyymmddhhmmss_emocheck.json`
+
+Emotetが検知された場合、以下のようなレポートが作成されます。
 
 ## スクリーンショット
 
+(v0.0.1)  
 <div align="left"><img src="./img/report_jp.png"></div>
 
+## 更新履歴
+
+- (2020/02/03) v0.0.1
+- (2020/02/10) v0.0.2
+  - 検知手法の追加
+  - コマンドオプションの追加
+
 ## その他
 
 ### 動作確認環境