นี่คือแอป Windows ชื่อ MemProcFS Analyzer ซึ่งสามารถดาวน์โหลดเวอร์ชันล่าสุดได้ที่ MemProcFS-Analyzerv1.2.0sourcecode.tar.gz สามารถใช้งานออนไลน์ได้บน OnWorks ซึ่งเป็นผู้ให้บริการโฮสติ้งฟรีสำหรับเวิร์กสเตชัน
ดาวน์โหลดและรันแอปออนไลน์ชื่อ MemProcFS Analyzer พร้อม OnWorks ได้ฟรี
ทำตามคำแนะนำเหล่านี้เพื่อเรียกใช้แอปนี้:
- 1. ดาวน์โหลดแอปพลิเคชั่นนี้ในพีซีของคุณ
- 2. เข้าไปที่ file manager https://www.onworks.net/myfiles.php?username=XXXXX ด้วยชื่อผู้ใช้ที่คุณต้องการ
- 3. อัปโหลดแอปพลิเคชันนี้ในตัวจัดการไฟล์ดังกล่าว
- 4. เริ่มโปรแกรมจำลองออนไลน์ของ OS OnWorks จากเว็บไซต์นี้ แต่โปรแกรมจำลองออนไลน์ของ Windows ที่ดีกว่า
- 5. จากระบบปฏิบัติการ Windows ของ OnWorks ที่คุณเพิ่งเริ่มต้น ไปที่ตัวจัดการไฟล์ของเรา https://www.onworks.net/myfiles.php?username=XXXXX พร้อมชื่อผู้ใช้ที่คุณต้องการ
- 6. ดาวน์โหลดแอปพลิเคชั่นและติดตั้ง
- 7. ดาวน์โหลดไวน์จากที่เก็บซอฟต์แวร์ลีนุกซ์ดิสทริบิวชันของคุณ เมื่อติดตั้งแล้ว คุณสามารถดับเบิลคลิกที่แอปเพื่อเรียกใช้แอปด้วย Wine คุณยังสามารถลองใช้ PlayOnLinux ซึ่งเป็นอินเทอร์เฟซแฟนซีบน Wine ที่จะช่วยคุณติดตั้งโปรแกรมและเกมยอดนิยมของ Windows
ไวน์เป็นวิธีเรียกใช้ซอฟต์แวร์ Windows บน Linux แต่ไม่จำเป็นต้องใช้ Windows Wine เป็นเลเยอร์ความเข้ากันได้ของ Windows แบบโอเพ่นซอร์สที่สามารถเรียกใช้โปรแกรม Windows ได้โดยตรงบนเดสก์ท็อป Linux โดยพื้นฐานแล้ว Wine พยายามนำ Windows กลับมาใช้ใหม่ให้เพียงพอตั้งแต่เริ่มต้น เพื่อให้สามารถเรียกใช้แอปพลิเคชัน Windows เหล่านั้นทั้งหมดโดยไม่จำเป็นต้องใช้ Windows จริงๆ
ภาพหน้าจอ:
เครื่องวิเคราะห์ MemProcFS
รายละเอียด:
MemProcFS-Analyzer คือสคริปต์ PowerShell ที่ออกแบบมาเพื่อลดความซับซ้อนและวิเคราะห์ข้อมูลดัมพ์หน่วยความจำ (หน่วยความจำดิบหรือดัมพ์ขัดข้อง) บน Windows โดยอัตโนมัติ สคริปต์นี้พัฒนาต่อยอดจาก MemProcFS (ซึ่งให้ระบบไฟล์เสมือนสำหรับติดตั้งหน่วยความจำ) ผสานรวมเครื่องมือและความสามารถในการวิเคราะห์ข้อมูลมากมาย (YARA, ClamAV, ตัววิเคราะห์สำหรับอาร์ทิแฟกต์ของ Windows, บันทึกเหตุการณ์ ฯลฯ) สร้างเอาต์พุต (ไทม์ไลน์, การแจ้งเตือน, รายงาน) และอำนวยความสะดวกในการตรวจสอบความผิดปกติในพฤติกรรมของกระบวนการ โมดูลที่แทรกเข้ามา การปลอมแปลง ความสัมพันธ์ระหว่างแม่ลูกที่ผิดปกติ ฯลฯ
คุณสมบัติ
- ติดตั้งอัตโนมัติและอัปเดตอัตโนมัติของเครื่องมือที่เกี่ยวข้องมากมาย เช่น MemProcFS เอง, AmcacheParser, AppCompatCacheParser, EvtxECmd, YARA, Kibana เป็นต้น
- รองรับการติดตั้งสแน็ปช็อตหน่วยความจำ (แบบฟิสิคัลหรือแบบดัมพ์ขัดข้อง) เช่น ดิสก์อิมเมจ การจัดการการรองรับ "ไฟล์เพจ" ของ Windows และคุณสมบัติการบีบอัด
- การระบุลายนิ้วมือของระบบปฏิบัติการ การเรียกดูกระบวนการด้วยเชนหลัก-รอง การตรวจจับการปลอมแปลงเส้นทาง/ชื่อกระบวนการ และบริบทผู้ใช้ที่ผิดปกติ
- ความสามารถในการสแกนด้วยกฎ YARA ที่กำหนดเองและชุดกฎ YARA ในตัว การสแกนแบบมัลติเธรดด้วย ClamAV บน Windows
- การแยกอาร์ทิแฟกต์ของ Windows: รีจิสทรี, บันทึกเหตุการณ์ (EVTX), ประวัติเบราว์เซอร์, Amcache, ShimCache, Prefetch, ทางลัด LNK ฯลฯ
- รายงาน / ผลลัพธ์ในรูปแบบ CSV จัดระเบียบไฟล์ที่น่าสงสัยเพื่อการวิเคราะห์เพิ่มเติม การเก็บถาวรหลักฐาน การสร้างไทม์ไลน์ ฯลฯ
ภาษาโปรแกรม
PowerShell
หมวดหมู่
นี่คือแอปพลิเคชันที่สามารถดึงข้อมูลจาก https://sourceforge.net/projects/memprocfs-analyzer.mirror/ ได้ แอปพลิเคชันนี้โฮสต์อยู่ใน OnWorks เพื่อให้ใช้งานออนไลน์ได้ง่ายที่สุดจากระบบปฏิบัติการฟรีของเรา