זוהי אפליקציית Windows בשם MemProcFS Analyzer, אשר את הגרסה האחרונה שלה ניתן להוריד בשם MemProcFS-Analyzerv1.2.0sourcecode.tar.gz. ניתן להריץ אותה באופן מקוון בספק האירוח החינמי OnWorks לתחנות עבודה.
הורד והפעל באופן מקוון את האפליקציה הזו בשם MemProcFS Analyzer עם OnWorks בחינם.
בצע את ההוראות הבאות כדי להפעיל את האפליקציה הזו:
- 1. הורד את היישום הזה למחשב שלך.
- 2. הזן במנהל הקבצים שלנו https://www.onworks.net/myfiles.php?username=XXXXX עם שם המשתמש שאתה רוצה.
- 3. העלה את היישום הזה במנהל קבצים כזה.
- 4. הפעל כל אמולטור מקוון של OS OnWorks מאתר זה, אך עדיף אמולטור מקוון של Windows.
- 5. ממערכת ההפעלה OnWorks Windows שזה עתה התחלת, עבור אל מנהל הקבצים שלנו https://www.onworks.net/myfiles.php?username=XXXXX עם שם המשתמש הרצוי.
- 6. הורד את האפליקציה והתקן אותה.
- 7. הורד את Wine ממאגרי התוכנה שלך להפצות לינוקס. לאחר ההתקנה, תוכל ללחוץ פעמיים על האפליקציה כדי להפעיל אותם עם Wine. אתה יכול גם לנסות את PlayOnLinux, ממשק מפואר מעל Wine שיעזור לך להתקין תוכניות ומשחקים פופולריים של Windows.
Wine היא דרך להפעיל תוכנת Windows על לינוקס, אך ללא צורך ב-Windows. Wine היא שכבת תאימות של Windows בקוד פתוח שיכולה להריץ תוכניות Windows ישירות על כל שולחן עבודה של לינוקס. בעיקרו של דבר, Wine מנסה להטמיע מחדש מספיק של Windows מאפס כדי שהוא יוכל להריץ את כל יישומי Windows מבלי להזדקק ל-Windows.
צילומי מסך:
מנתח MemProcFS
תיאור:
MemProcFS-Analyzer הוא סקריפט PowerShell שנועד לפשט ולאוטומטי ניתוח פורנזי של קבצי זיכרון (זיכרון גולמי או קבצי קריסה) במערכת Windows. הוא מבוסס על MemProcFS (המספק מערכת קבצים וירטואלית להרכבת זיכרון), משלב כלי ויכולות ניתוח רבים (YARA, ClamAV, מנתחים עבור ארטיפקטים של Windows, יומני אירועים וכו'), מייצר פלט (צירי זמן, התראות, דוחות) ומקל על בדיקת אנומליות בהתנהגות תהליכים, מודולים מוזרקים, התחזות, יחסי אב-צאצא יוצאי דופן וכו'.
תכונות
- התקנה אוטומטית ועדכון אוטומטי של כלים תלויים רבים כגון MemProcFS עצמו, AmcacheParser, AppCompatCacheParser, EvtxECmd, YARA, Kibana וכו'.
- תומך בהרכבת תמונות זיכרון (פיזיות או תמונות קריסה) כמו תמונות דיסק, טיפול בתמיכה ב"קבצי עמוד" של Windows ותכונות דחיסה
- טביעות אצבע של מערכת הפעלה, עץ תהליכי גלישה עם שרשרת הורה-צאצא, זיהוי נתיב/שם תהליכים בהסוואה והקשרי משתמש יוצאי דופן
- יכולת סריקה עם כללי YARA מותאמים אישית וערכות כללים מובנות של YARA, סריקות מרובות הליכים עם ClamAV ב-Windows
- חילוץ של ארטיפקטים של Windows: רישום, יומני אירועים (EVTX), היסטוריית דפדפן, Amcache, ShimCache, Prefetch, קיצורי דרך של LNK וכו'.
- דוחות/פלטים בקובץ CSV, ארגון קבצים חשודים לניתוח נוסף, אחסון ראיות, יצירת ציר זמן וכו'.
שפת תכנות
PowerShell
כל הקטגוריות
זוהי אפליקציה שניתן להוריד גם מאתר https://sourceforge.net/projects/memprocfs-analyzer.mirror/. היא אוחסנה ב-OnWorks על מנת שניתן יהיה להפעיל אותה באופן מקוון בצורה הקלה ביותר מאחת ממערכות ההפעלה החינמיות שלנו.