Это приложение для Windows под названием MemProcFS Analyzer, последнюю версию которого можно скачать как MemProcFS-Analyzerv1.2.0sourcecode.tar.gz. Его можно запустить онлайн на бесплатном хостинг-провайдере OnWorks для рабочих станций.
Бесплатно скачайте и запустите онлайн это приложение под названием MemProcFS Analyzer с OnWorks.
Следуйте этим инструкциям, чтобы запустить это приложение:
- 1. Загрузил это приложение на свой компьютер.
- 2. Введите в нашем файловом менеджере https://www.onworks.net/myfiles.php?username=XXXXX с желаемым именем пользователя.
- 3. Загрузите это приложение в такой файловый менеджер.
- 4. Запустите любой онлайн-эмулятор OS OnWorks с этого сайта, но лучше онлайн-эмулятор Windows.
- 5. В только что запущенной ОС Windows OnWorks перейдите в наш файловый менеджер https://www.onworks.net/myfiles.php?username=XXXXX с желаемым именем пользователя.
- 6. Скачайте приложение и установите его.
- 7. Загрузите Wine из репозиториев программного обеспечения вашего дистрибутива Linux. После установки вы можете дважды щелкнуть приложение, чтобы запустить его с помощью Wine. Вы также можете попробовать PlayOnLinux, необычный интерфейс поверх Wine, который поможет вам установить популярные программы и игры для Windows.
Wine - это способ запустить программное обеспечение Windows в Linux, но без Windows. Wine - это уровень совместимости с Windows с открытым исходным кодом, который может запускать программы Windows непосредственно на любом рабочем столе Linux. По сути, Wine пытается заново реализовать Windows с нуля, чтобы можно было запускать все эти Windows-приложения, фактически не нуждаясь в Windows.
СКРИНШОТЫ
Ad
Анализатор MemProcFS
ОПИСАНИЕ
MemProcFS-Analyzer — это скрипт PowerShell, предназначенный для упрощения и автоматизации криминалистического анализа дампов памяти (сырой памяти или аварийных дампов) в Windows. Он основан на MemProcFS (виртуальной файловой системе для монтирования памяти), интегрируя множество инструментов и возможностей парсинга (YARA, ClamAV, парсеры артефактов Windows, журналы событий и т. д.), генерируя выходные данные (хронологии, оповещения, отчёты) и упрощая анализ аномалий в поведении процессов, внедренных модулей, маскировки, необычных отношений родитель-потомок и т. д.
Особенности
- Автоматическая установка и автоматическое обновление многих зависимых инструментов, таких как MemProcFS, AmcacheParser, AppCompatCacheParser, EvtxECmd, YARA, Kibana и т. д.
- Поддерживает монтирование снимков памяти (физических или аварийных дампов), таких как образы дисков, поддерживает функцию сжатия и файл подкачки Windows.
- Считывание отпечатков ОС, просмотр дерева процессов с цепочкой «родители-потомки», обнаружение маскировки пути/имени процесса и необычных пользовательских контекстов
- Возможность сканирования с использованием пользовательских правил YARA и встроенных наборов правил YARA, многопоточное сканирование с помощью ClamAV в Windows
- Извлечение артефактов Windows: реестр, журналы событий (EVTX), истории браузера, Amcache, ShimCache, Prefetch, ярлыки LNK и т. д.
- Отчеты/выводы в формате CSV, организация подозрительных файлов для дальнейшего анализа, архивация доказательств, создание временной шкалы и т. д.
Язык программирования
PowerShell
Категории
Это приложение также можно загрузить с сайта https://sourceforge.net/projects/memprocfs-analyzer.mirror/. Оно размещено на платформе OnWorks для максимально удобного запуска онлайн с помощью одной из наших бесплатных операционных систем.
