Đây là ứng dụng Windows có tên MemProcFS Analyzer, phiên bản mới nhất có thể tải xuống dưới dạng MemProcFS-Analyzerv1.2.0sourcecode.tar.gz. Ứng dụng có thể chạy trực tuyến trên nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks dành cho máy trạm.
Tải xuống và chạy trực tuyến ứng dụng có tên MemProcFS Analyzer với OnWorks miễn phí.
Làm theo các hướng dẫn sau để chạy ứng dụng này:
- 1. Đã tải ứng dụng này xuống PC của bạn.
- 2. Nhập vào trình quản lý tệp của chúng tôi https://www.onworks.net/myfiles.php?username=XXXXX với tên người dùng mà bạn muốn.
- 3. Tải lên ứng dụng này trong trình quản lý tệp như vậy.
- 4. Khởi động bất kỳ trình giả lập trực tuyến OS OnWorks nào từ trang web này, nhưng trình giả lập trực tuyến Windows tốt hơn.
- 5. Từ Hệ điều hành Windows OnWorks bạn vừa khởi động, hãy truy cập trình quản lý tệp của chúng tôi https://www.onworks.net/myfiles.php?username=XXXXX với tên người dùng mà bạn muốn.
- 6. Tải xuống ứng dụng và cài đặt nó.
- 7. Tải xuống Wine từ kho phần mềm phân phối Linux của bạn. Sau khi cài đặt, bạn có thể nhấp đúp vào ứng dụng để chạy chúng với Wine. Bạn cũng có thể thử PlayOnLinux, một giao diện đẹp mắt trên Wine sẽ giúp bạn cài đặt các chương trình và trò chơi phổ biến của Windows.
Wine là một cách để chạy phần mềm Windows trên Linux, nhưng không cần Windows. Wine là một lớp tương thích Windows mã nguồn mở có thể chạy các chương trình Windows trực tiếp trên bất kỳ máy tính để bàn Linux nào. Về cơ bản, Wine đang cố gắng triển khai lại đủ Windows từ đầu để nó có thể chạy tất cả các ứng dụng Windows đó mà không thực sự cần đến Windows.
MÀN HÌNH:
Trình phân tích MemProcFS
SỰ MIÊU TẢ:
MemProcFS-Analyzer là một tập lệnh PowerShell được thiết kế để đơn giản hóa và tự động hóa việc phân tích pháp y các bản sao lưu bộ nhớ (bộ nhớ thô hoặc bản sao lưu sự cố) trên Windows. Nó được xây dựng trên MemProcFS (cung cấp hệ thống tệp ảo để gắn bộ nhớ), tích hợp nhiều công cụ và khả năng phân tích cú pháp (YARA, ClamAV, trình phân tích cú pháp cho các hiện vật Windows, nhật ký sự kiện, v.v.), tạo đầu ra (dòng thời gian, cảnh báo, báo cáo) và hỗ trợ việc kiểm tra các bất thường trong hành vi quy trình, các mô-đun được chèn, hiện tượng ngụy trang, mối quan hệ cha-con bất thường, v.v.
Tính năng
- Tự động cài đặt và tự động cập nhật nhiều công cụ phụ thuộc như MemProcFS, AmcacheParser, AppCompatCacheParser, EvtxECmd, YARA, Kibana, v.v.
- Hỗ trợ gắn ảnh chụp nhanh bộ nhớ (ảnh vật lý hoặc ảnh chụp sự cố) như ảnh đĩa, xử lý hỗ trợ "tệp trang" của Windows và các tính năng nén
- Dấu vân tay hệ điều hành, duyệt cây quy trình với chuỗi cha-con, phát hiện đường dẫn quy trình/tên giả mạo và ngữ cảnh người dùng bất thường
- Khả năng quét bằng các quy tắc YARA tùy chỉnh và bộ quy tắc YARA tích hợp, quét đa luồng với ClamAV trên Windows
- Trích xuất các hiện vật của Windows: sổ đăng ký, nhật ký sự kiện (EVTX), lịch sử trình duyệt, Amcache, ShimCache, Prefetch, phím tắt LNK, v.v.
- Báo cáo/đầu ra ở định dạng CSV, sắp xếp các tệp đáng ngờ để phân tích thêm, lưu trữ bằng chứng, tạo mốc thời gian, v.v.
Ngôn ngữ lập trình
PowerShell
Danh Mục
Đây là một ứng dụng cũng có thể được tải xuống từ https://sourceforge.net/projects/memprocfs-analyzer.mirror/. Ứng dụng này được lưu trữ trên OnWorks để có thể chạy trực tuyến dễ dàng nhất từ một trong những Hệ điều hành miễn phí của chúng tôi.