To aplikacja dla systemu Windows o nazwie MemProcFS Analyzer, której najnowszą wersję można pobrać jako MemProcFS-Analyzerv1.2.0sourcecode.tar.gz. Można ją uruchomić online w darmowym hostingu OnWorks dla stacji roboczych.
Pobierz i uruchom bezpłatnie aplikację MemProcFS Analyzer z OnWorks w trybie online.
Postępuj zgodnie z tymi instrukcjami, aby uruchomić tę aplikację:
- 1. Pobrałem tę aplikację na swój komputer.
- 2. Wpisz w naszym menedżerze plików https://www.onworks.net/myfiles.php?username=XXXXX z wybraną nazwą użytkownika.
- 3. Prześlij tę aplikację w takim menedżerze plików.
- 4. Uruchom dowolny emulator online systemu operacyjnego OnWorks z tej witryny, ale lepszy emulator online systemu Windows.
- 5. W systemie operacyjnym OnWorks Windows, który właśnie uruchomiłeś, przejdź do naszego menedżera plików https://www.onworks.net/myfiles.php?username=XXXXX z wybraną nazwą użytkownika.
- 6. Pobierz aplikację i zainstaluj ją.
- 7. Pobierz Wine z repozytoriów oprogramowania dystrybucji Linuksa. Po zainstalowaniu możesz dwukrotnie kliknąć aplikację, aby uruchomić ją za pomocą Wine. Możesz także wypróbować PlayOnLinux, fantazyjny interfejs w Wine, który pomoże Ci zainstalować popularne programy i gry Windows.
Wine to sposób na uruchamianie oprogramowania Windows w systemie Linux, ale bez systemu Windows. Wine to warstwa kompatybilności z systemem Windows typu open source, która może uruchamiać programy systemu Windows bezpośrednio na dowolnym pulpicie systemu Linux. Zasadniczo Wine próbuje ponownie zaimplementować system Windows od podstaw, aby mógł uruchamiać wszystkie te aplikacje Windows bez faktycznego korzystania z systemu Windows.
ZDJĘCIA EKRANU:
Analizator MemProcFS
OPIS:
MemProcFS-Analyzer to skrypt programu PowerShell, którego celem jest uproszczenie i automatyzacja analizy kryminalistycznej zrzutów pamięci (pamięci surowej lub zrzutów awaryjnych) w systemie Windows. Bazuje on na systemie MemProcFS (który zapewnia wirtualny system plików do montowania pamięci), integrując wiele narzędzi i funkcji parsowania (YARA, ClamAV, parsery artefaktów systemu Windows, dzienniki zdarzeń itp.), generując dane wyjściowe (osie czasu, alerty, raporty) oraz ułatwiając badanie anomalii w zachowaniu procesów, wstrzykiwanych modułów, maskowania, nietypowych relacji nadrzędny-podrzędny itp.
Funkcjonalności
- Automatyczna instalacja i automatyczna aktualizacja wielu zależnych narzędzi, takich jak MemProcFS, AmcacheParser, AppCompatCacheParser, EvtxECmd, YARA, Kibana itp.
- Obsługuje montowanie migawek pamięci (zrzutów fizycznych lub awaryjnych) w postaci obrazów dysków, obsługuje obsługę plików stronicowania systemu Windows i funkcje kompresji
- Odcisk palca systemu operacyjnego, przeglądanie drzewa procesów z łańcuchem nadrzędny-podrzędny, wykrywanie maskowania ścieżki/nazwy procesu i nietypowych kontekstów użytkownika
- Możliwość skanowania przy użyciu niestandardowych reguł YARA i wbudowanych zestawów reguł YARA, skanowanie wielowątkowe za pomocą ClamAV w systemie Windows
- Ekstrakcja artefaktów systemu Windows: rejestru, dzienników zdarzeń (EVTX), historii przeglądarki, Amcache, ShimCache, Prefetch, skrótów LNK itp.
- Raporty / wyniki w formacie CSV, organizowanie podejrzanych plików w celu dalszej analizy, archiwizacja dowodów, generowanie osi czasu itp.
Język programowania
PowerShell
Kategorie
Tę aplikację można również pobrać ze strony https://sourceforge.net/projects/memprocfs-analyzer.mirror/. Została ona umieszczona w OnWorks, aby można ją było uruchomić online w najłatwiejszy sposób z jednego z naszych darmowych systemów operacyjnych.