Це програма для Windows під назвою MemProcFS Analyzer, останню версію якої можна завантажити як MemProcFS-Analyzerv1.2.0sourcecode.tar.gz. Її можна запускати онлайн на безкоштовному хостинг-провайдері OnWorks для робочих станцій.
Завантажте та запустіть онлайн цю програму під назвою MemProcFS Analyzer з OnWorks безкоштовно.
Дотримуйтесь цих інструкцій, щоб запустити цю програму:
- 1. Завантажив цю програму на свій ПК.
- 2. Введіть у наш файловий менеджер https://www.onworks.net/myfiles.php?username=XXXXX із потрібним ім'ям користувача.
- 3. Завантажте цю програму в такий файловий менеджер.
- 4. Запустіть будь-який онлайн емулятор ОС OnWorks з цього веб-сайту, але кращий онлайн-емулятор Windows.
- 5. З ОС OnWorks Windows, яку ви щойно запустили, перейдіть до нашого файлового менеджера https://www.onworks.net/myfiles.php?username=XXXXX з потрібним іменем користувача.
- 6. Завантажте програму та встановіть її.
- 7. Завантажте Wine зі сховищ програмного забезпечення дистрибутивів Linux. Після встановлення ви можете двічі клацнути програму, щоб запустити їх за допомогою Wine. Ви також можете спробувати PlayOnLinux, модний інтерфейс замість Wine, який допоможе вам встановити популярні програми та ігри Windows.
Wine — це спосіб запуску програмного забезпечення Windows на Linux, але без використання Windows. Wine — це рівень сумісності Windows з відкритим вихідним кодом, який може запускати програми Windows безпосередньо на будь-якому робочому столі Linux. По суті, Wine намагається повторно реалізувати достатньо Windows з нуля, щоб він міг запускати всі ці програми Windows, насправді не потребуючи Windows.
СКРЕНИ:
Аналізатор MemProcFS
ОПИС:
MemProcFS-Analyzer — це скрипт PowerShell, призначений для спрощення та автоматизації аналізу дампів пам'яті (необробленої пам'яті або аварійних дампів) у Windows. Він побудований на MemProcFS (який надає віртуальну файлову систему для монтування пам'яті), інтегруючи багато інструментів та можливостей парсингу (YARA, ClamAV, парсери артефактів Windows, журнали подій тощо), генеруючи вивід (хронології, сповіщення, звіти) та полегшуючи дослідження аномалій у поведінці процесів, впроваджених модулів, маскування, незвичайних зв'язків між батьками та дітьми тощо.
Функції
- Автоматичне встановлення та автоматичне оновлення багатьох залежних інструментів, таких як сам MemProcFS, AmcacheParser, AppCompatCacheParser, EvtxECmd, YARA, Kibana тощо.
- Підтримує монтування знімків пам'яті (фізичних або аварійних дампів), таких як образи дисків, підтримку файлів підкачки Windows та функції стиснення
- Відбитки ОС, перегляд дерева процесів з ланцюжком батьків-дітей, виявлення маскування шляху/імені процесу та незвичайних контекстів користувача
- Можливість сканування за допомогою користувацьких правил YARA та вбудованих наборів правил YARA, багатопотокове сканування за допомогою ClamAV у Windows
- Вилучення артефактів Windows: реєстр, журнали подій (EVTX), історія браузера, Amcache, ShimCache, Prefetch, ярлики LNK тощо.
- Звіти/виходи у форматі CSV, упорядкування підозрілих файлів для подальшого аналізу, архівування доказів, створення хронології тощо.
Мова програмування
PowerShell
Категорії
Цю програму також можна завантажити з https://sourceforge.net/projects/memprocfs-analyzer.mirror/. Вона розміщена в OnWorks для найпростішого запуску онлайн з однієї з наших безкоштовних операційних систем.