Aceasta este aplicația Windows numită MemProcFS Analyzer, a cărei ultimă versiune poate fi descărcată sub numele MemProcFS-Analyzerv1.2.0sourcecode.tar.gz. Poate fi rulată online pe furnizorul de găzduire gratuită OnWorks pentru stații de lucru.
Descărcați și rulați online gratuit această aplicație numită MemProcFS Analyzer cu OnWorks.
Urmați aceste instrucțiuni pentru a rula această aplicație:
- 1. Ați descărcat această aplicație pe computer.
- 2. Introduceți în managerul nostru de fișiere https://www.onworks.net/myfiles.php?username=XXXXX cu numele de utilizator pe care îl doriți.
- 3. Încărcați această aplicație într-un astfel de manager de fișiere.
- 4. Porniți orice emulator online OS OnWorks de pe acest site, dar mai bun emulator online Windows.
- 5. Din sistemul de operare Windows OnWorks pe care tocmai l-ați pornit, accesați managerul nostru de fișiere https://www.onworks.net/myfiles.php?username=XXXXX cu numele de utilizator dorit.
- 6. Descărcați aplicația și instalați-o.
- 7. Descărcați Wine din depozitele de software ale distribuțiilor Linux. Odată instalat, puteți apoi să faceți dublu clic pe aplicație pentru a le rula cu Wine. De asemenea, puteți încerca PlayOnLinux, o interfață elegantă peste Wine, care vă va ajuta să instalați programe și jocuri populare Windows.
Wine este o modalitate de a rula software-ul Windows pe Linux, dar fără a fi necesar Windows. Wine este un strat de compatibilitate Windows open-source care poate rula programe Windows direct pe orice desktop Linux. În esență, Wine încearcă să reimplementeze suficient Windows de la zero, astfel încât să poată rula toate acele aplicații Windows fără a avea nevoie efectiv de Windows.
CAPTURĂ DE ECRAN:
Analizor MemProcFS
DESCRIERE:
MemProcFS-Analyzer este un script PowerShell menit să simplifice și să automatizeze analiza forensică a dump-urilor de memorie (memorie brută sau dump-uri de eroare) pe Windows. Se bazează pe MemProcFS (care oferă un sistem de fișiere virtual pentru montarea memoriei), integrând numeroase instrumente și capabilități de parsare (YARA, ClamAV, parsere pentru artefacte Windows, jurnale de evenimente etc.), generând ieșiri (cronograme, alerte, rapoarte) și facilitând examinarea anomaliilor în comportamentul proceselor, a modulelor injectate, a masqueradării, a relațiilor neobișnuite părinte-copil etc.
Categorii
- Instalare automată și actualizare automată a multor instrumente dependente, cum ar fi MemProcFS în sine, AmcacheParser, AppCompatCacheParser, EvtxECmd, YARA, Kibana etc.
- Suportă montarea instantaneelor de memorie (dump-uri fizice sau de tip crash) precum imagini de disc, gestionarea suportului pentru „file-uri de pagină” Windows și a funcțiilor de compresie
- Amprentarea sistemului de operare, navigarea în arborele de procese cu lanțul părinte-copil, detectarea masqueradării căii/numelui procesului și a contextelor neobișnuite ale utilizatorilor
- Posibilitatea de a scana cu reguli YARA personalizate și seturi de reguli YARA încorporate, scanări multi-threaded cu ClamAV pe Windows
- Extragerea artefactelor Windows: registry, jurnale de evenimente (EVTX), istoricul browserului, Amcache, ShimCache, Prefetch, comenzi rapide LNK etc.
- Rapoarte / ieșiri în format CSV, organizarea fișierelor suspecte pentru analize ulterioare, arhivarea dovezilor, generarea de cronologie etc.
Limbaj de programare
PowerShell
Categorii
Aceasta este o aplicație care poate fi descărcată și de la https://sourceforge.net/projects/memprocfs-analyzer.mirror/. A fost găzduită în OnWorks pentru a putea fi rulată online în cel mai simplu mod de pe unul dintre sistemele noastre de operare gratuite.