github.com ファイル構成と概要 GlytchC2-main/ ├── attacker/ │ ├── attacker.py ... Attacker側メイン（コマンド送信・ストリーム録画・デコード制御） │ ├── crawler.py ... Twitch配信URL取得 + ffmpegフレームキャプチャ │ ├── decoder.py ... グレース…

github.com ファイル構成と概要 GlytchC2-main/ ├── attacker/twitch_chat_irc.py ... Attacker側のコピー（victim側と完全同一） ├── victim/twitch_chat_irc.py ... Victim側のコピー ├── attacker/example.env ... Attacker側 Twitch認証情報テンプレート…

github.com ファイル構成と概要 GlytchC2-main/attacker/ ├── attacker.py ... Attacker側メインスクリプト（コマンド送信・ストリーム録画・デコード制御） ├── crawler.py ... Twitch配信URLの取得とフレームキャプチャ ├── decoder.py ... グレースケール…

github.com ファイル構成と概要 GlytchC2-main/victim/ ├── victim.py ... Victim側メインスクリプト（C2コマンド受信・実行・配信制御） ├── encoder.py ... データ→グレースケール画像変換（ステガノグラフィエンコーダ） ├── twitch_chat_irc.py ... Twit…

カテゴリ別ツール一覧 ランサムウェアアクターが使用する持ち出しツールの大半は、正規のIT運用で使われるデュアルユースツールであり、EDR による検知を回避しやすい [1][2][3]。ReliaQuest の分析（2023年9月〜2024年7月）では、Rclone が全インシデントの…

github.com 1. ツール全体の目的と攻撃フロー 2. ファイル構成と役割 3. ntdefs.h — 未公開API定義の意図 UNICODE_STRING構造体（ntdefs.h 4-9行目） SYSTEM_PROCESS_ID_INFORMATION構造体（ntdefs.h 11-15行目） SYSTEM_INFORMATION_CLASS列挙型（ntdefs.h …

github.com 概要 攻撃フロー全体像 コア技術：Windows Bind Filter（bindfltapi.dll） Bind Filter とは何か なぜ Bind Filter が EDR 妨害に有効なのか コード上の実装（EDRStartupHinder.cpp 13–18行目） BindLnk.h の型定義と引数の意味 DLL の「改ざん」…