Dies ist die Windows-App namens MemProcFS Analyzer, deren neueste Version als MemProcFS-Analyzerv1.2.0sourcecode.tar.gz heruntergeladen werden kann. Sie kann online beim kostenlosen Hosting-Anbieter OnWorks für Workstations ausgeführt werden.
Laden Sie diese App namens MemProcFS Analyzer mit OnWorks kostenlos herunter und führen Sie sie online aus.
Befolgen Sie diese Anweisungen, um diese App auszuführen:
- 1. Diese Anwendung auf Ihren PC heruntergeladen.
- 2. Geben Sie in unserem Dateimanager https://www.onworks.net/myfiles.php?username=XXXXX den gewünschten Benutzernamen ein.
- 3. Laden Sie diese Anwendung in einem solchen Dateimanager hoch.
- 4. Starten Sie einen beliebigen OS OnWorks-Online-Emulator von dieser Website, aber einen besseren Windows-Online-Emulator.
- 5. Rufen Sie vom gerade gestarteten OnWorks Windows-Betriebssystem unseren Dateimanager https://www.onworks.net/myfiles.php?username=XXXXX mit dem gewünschten Benutzernamen auf.
- 6. Laden Sie die Anwendung herunter und installieren Sie sie.
- 7. Laden Sie Wine aus den Software-Repositorys Ihrer Linux-Distributionen herunter. Nach der Installation können Sie dann auf die App doppelklicken, um sie mit Wine auszuführen. Sie können auch PlayOnLinux ausprobieren, eine schicke Schnittstelle über Wine, die Ihnen bei der Installation beliebter Windows-Programme und -Spiele hilft.
Wine ist eine Möglichkeit, Windows-Software unter Linux auszuführen, jedoch ohne Windows. Wine ist eine Open-Source-Windows-Kompatibilitätsschicht, die Windows-Programme direkt auf jedem Linux-Desktop ausführen kann. Im Wesentlichen versucht Wine, genügend Windows von Grund auf neu zu implementieren, damit alle diese Windows-Anwendungen ausgeführt werden können, ohne dass Windows tatsächlich benötigt wird.
SCREENSHOTS:
MemProcFS-Analysator
BESCHREIBUNG:
MemProcFS-Analyzer ist ein PowerShell-Skript zur Vereinfachung und Automatisierung der forensischen Analyse von Speicherabbildern (Rohspeicher oder Crash-Dumps) unter Windows. Es basiert auf MemProcFS (das ein virtuelles Dateisystem zum Einbinden von Speicher bereitstellt), integriert zahlreiche Analysetools und -funktionen (YARA, ClamAV, Parser für Windows-Artefakte, Ereignisprotokolle usw.), generiert Ausgaben (Zeitleisten, Warnungen, Berichte) und erleichtert die Untersuchung von Anomalien im Prozessverhalten, injizierten Modulen, Masquerading, ungewöhnlichen Eltern-Kind-Beziehungen usw.
Eigenschaften
- Automatische Installation und automatische Aktualisierung vieler abhängiger Tools wie MemProcFS selbst, AmcacheParser, AppCompatCacheParser, EvtxECmd, YARA, Kibana usw.
- Unterstützt das Mounten von Speicher-Snapshots (physische oder Crash-Dumps) wie Disk-Images, die Handhabung der Windows-Auslagerungsdatei-Unterstützung und Komprimierungsfunktionen
- OS-Fingerprinting, Durchsuchen des Prozessbaums mit Parent-Child-Kette, Erkennen von Prozesspfad-/Namensmaskierung und ungewöhnlichen Benutzerkontexten
- Möglichkeit zum Scannen mit benutzerdefinierten YARA-Regeln und integrierten YARA-Regelsätzen, Multithread-Scans mit ClamAV unter Windows
- Extraktion von Windows-Artefakten: Registrierung, Ereignisprotokolle (EVTX), Browserverlauf, Amcache, ShimCache, Prefetch, LNK-Verknüpfungen usw.
- Berichte/Ausgaben im CSV-Format, Organisieren verdächtiger Dateien für weitere Analysen, Archivieren von Beweisen, Erstellen einer Zeitleiste usw.
Programmiersprache
Powershell
Kategorien
Diese Anwendung kann auch von https://sourceforge.net/projects/memprocfs-analyzer.mirror/ heruntergeladen werden. Sie wurde in OnWorks gehostet, um sie auf einfachste Weise online von einem unserer kostenlosen Betriebssysteme aus ausführen zu können.