This is the Windows app named MemProcFS Analyzer whose latest release can be downloaded as MemProcFS-Analyzerv1.2.0sourcecode.tar.gz. It can be run online in the free hosting provider OnWorks for workstations.
Download and run online this app named MemProcFS Analyzer with OnWorks for free.
Suivez ces instructions pour exécuter cette application :
- 1. Téléchargé cette application sur votre PC.
- 2. Entrez dans notre gestionnaire de fichiers https://www.onworks.net/myfiles.php?username=XXXXX avec le nom d'utilisateur que vous voulez.
- 3. Téléchargez cette application dans ce gestionnaire de fichiers.
- 4. Démarrez n'importe quel émulateur en ligne OS OnWorks à partir de ce site Web, mais un meilleur émulateur en ligne Windows.
- 5. Depuis le système d'exploitation OnWorks Windows que vous venez de démarrer, accédez à notre gestionnaire de fichiers https://www.onworks.net/myfiles.php?username=XXXXX avec le nom d'utilisateur que vous souhaitez.
- 6. Téléchargez l'application et installez-la.
- 7. Téléchargez Wine depuis les dépôts de logiciels de vos distributions Linux. Une fois installé, vous pouvez ensuite double-cliquer sur l'application pour les exécuter avec Wine. Vous pouvez également essayer PlayOnLinux, une interface sophistiquée sur Wine qui vous aidera à installer des programmes et des jeux Windows populaires.
Wine est un moyen d'exécuter un logiciel Windows sur Linux, mais sans Windows requis. Wine est une couche de compatibilité Windows open source qui peut exécuter des programmes Windows directement sur n'importe quel bureau Linux. Essentiellement, Wine essaie de ré-implémenter suffisamment de Windows à partir de zéro pour qu'il puisse exécuter toutes ces applications Windows sans avoir réellement besoin de Windows.
CAPTURES D'ÉCRAN:
Analyseur MemProcFS
DESCRIPTION:
MemProcFS-Analyzer is a PowerShell script intended to simplify and automate forensic analysis of memory dumps (raw memory or crash dumps) on Windows. It builds on MemProcFS (which provides a virtual file system to mount memory), integrating many parsing tools and capabilities (YARA, ClamAV, parsers for Windows artifacts, event logs etc.), generating output (timelines, alerts, reports), and facilitating examination of anomalies in process behavior, injected modules, masquerading, unusual parent-child relationships etc.
Caractéristiques
- Auto-install and auto-update of many dependent tools such as MemProcFS itself, AmcacheParser, AppCompatCacheParser, EvtxECmd, YARA, Kibana etc.
- Supports mounting memory snapshots (physical or crash dumps) like disk images, handling Windows “pagefile” support and compression features
- OS fingerprinting, browsing process tree with parent-child chain, detection of process path/name masquerading and unusual user contexts
- Ability to scan with custom YARA rules and built-in YARA rule sets, multi-threaded scans with ClamAV on Windows
- Extraction of Windows artifacts: registry, event logs (EVTX), browser histories, Amcache, ShimCache, Prefetch, LNK shortcuts etc.
- Reports / outputs in CSV, organizing suspicious files for further analysis, archiving evidence, timeline generation etc.
Langage de programmation
PowerShell
Catégories
This is an application that can also be fetched from https://sourceforge.net/projects/memprocfs-analyzer.mirror/. It has been hosted in OnWorks in order to be run online in an easiest way from one of our free Operative Systems.