これはMemProcFS AnalyzerというWindowsアプリで、最新リリースはMemProcFS-Analyzerv1.2.0sourcecode.tar.gzとしてダウンロードできます。ワークステーション向けの無料ホスティングプロバイダーであるOnWorksでオンラインで実行できます。
MemProcFS Analyzer というアプリを OnWorks で無料でダウンロードしてオンラインで実行します。
このアプリを実行するには、次の手順に従ってください。
-1。このアプリケーションをPCにダウンロードしました。
--2。ファイルマネージャーhttps://www.onworks.net/myfiles.php?username=XXXXXに必要なユーザー名を入力します。
-3。このアプリケーションをそのようなファイルマネージャにアップロードします。
-4。このWebサイトからOSOnWorksオンラインエミュレーターを起動しますが、Windowsオンラインエミュレーターの方が優れています。
-5。起動したばかりのOnWorksWindows OSから、必要なユーザー名でファイルマネージャーhttps://www.onworks.net/myfiles.php?username=XXXXXにアクセスします。
-6。アプリケーションをダウンロードしてインストールします。
-7.LinuxディストリビューションソフトウェアリポジトリからWineをダウンロードします。 インストールしたら、アプリをダブルクリックして、Wineで実行できます。 また、人気のあるWindowsプログラムやゲームのインストールに役立つWine上の豪華なインターフェイスであるPlayOnLinuxを試すこともできます。
WineはLinux上でWindowsソフトウェアを実行する方法ですが、Windowsは必要ありません。 Wineは、任意のLinuxデスクトップでWindowsプログラムを直接実行できるオープンソースのWindows互換性レイヤーです。 基本的に、Wineは、実際にWindowsを必要とせずに、これらすべてのWindowsアプリケーションを実行できるように、十分な数のWindowsを最初から再実装しようとしています。
スクリーンショット:
MemProcFS アナライザー
説明:
MemProcFS-Analyzerは、Windows上のメモリダンプ(生メモリまたはクラッシュダンプ)のフォレンジック分析を簡素化・自動化することを目的としたPowerShellスクリプトです。メモリをマウントするための仮想ファイルシステムを提供するMemProcFSを基盤とし、YARA、ClamAV、Windowsアーティファクトやイベントログのパーサーなど、様々な解析ツールと機能を統合し、タイムライン、アラート、レポートといった出力を生成し、プロセス動作の異常、モジュールの挿入、マスカレード、異常な親子関係などの調査を容易にします。
オプション
- MemProcFS 自体、AmcacheParser、AppCompatCacheParser、EvtxECmd、YARA、Kibana などの多くの依存ツールの自動インストールと自動更新。
- ディスクイメージのようなメモリスナップショット(物理またはクラッシュダンプ)のマウント、Windowsの「ページファイル」サポートと圧縮機能の処理をサポートします。
- OS フィンガープリンティング、親子チェーンによるプロセスツリーの閲覧、プロセスパス/名前の偽装および異常なユーザーコンテキストの検出
- カスタム YARA ルールと組み込み YARA ルール セットを使用したスキャン機能、Windows 上の ClamAV を使用したマルチスレッド スキャン
- Windows アーティファクトの抽出: レジストリ、イベント ログ (EVTX)、ブラウザー履歴、Amcache、ShimCache、Prefetch、LNK ショートカットなど。
- CSV でのレポート/出力、さらなる分析のための疑わしいファイルの整理、証拠のアーカイブ、タイムラインの生成など。
プログラミング言語
PowerShellの
カテゴリー
このアプリケーションは、https://sourceforge.net/projects/memprocfs-analyzer.mirror/ からも入手できます。OnWorks でホストされているため、無料のオペレーティングシステムから最も簡単にオンラインで実行できます。