这是名为 MemProcFS Analyzer 的 Windows 应用程序,其最新版本可以下载为 MemProcFS-Analyzerv1.2.0sourcecode.tar.gz。它可以在免费的工作站托管服务提供商 OnWorks 上在线运行。
免费下载并在线运行名为 MemProcFS Analyzer with OnWorks 的应用程序。
请按照以下说明运行此应用程序:
- 1. 在您的 PC 中下载此应用程序。
- 2. 在我们的文件管理器 https://www.onworks.net/myfiles.php?username=XXXXX 中输入您想要的用户名。
- 3. 在这样的文件管理器中上传这个应用程序。
- 4. 从本网站启动任何 OS OnWorks 在线模拟器,但更好的 Windows 在线模拟器。
- 5. 从您刚刚启动的 OnWorks Windows 操作系统,使用您想要的用户名转到我们的文件管理器 https://www.onworks.net/myfiles.php?username=XXXXX。
- 6. 下载应用程序并安装。
- 7. 从您的 Linux 发行版软件存储库下载 Wine。 安装后,您可以双击该应用程序以使用 Wine 运行它们。 您还可以尝试 PlayOnLinux,这是 Wine 上的一个花哨界面,可帮助您安装流行的 Windows 程序和游戏。
Wine 是一种在 Linux 上运行 Windows 软件的方法,但不需要 Windows。 Wine 是一个开源的 Windows 兼容层,可以直接在任何 Linux 桌面上运行 Windows 程序。 本质上,Wine 试图从头开始重新实现足够多的 Windows,以便它可以运行所有这些 Windows 应用程序,而实际上不需要 Windows。
截图:
MemProcFS 分析器
描述:
MemProcFS-Analyzer 是一个 PowerShell 脚本,旨在简化和自动化 Windows 上内存转储(原始内存或崩溃转储)的取证分析。它基于 MemProcFS(提供用于挂载内存的虚拟文件系统),集成了许多解析工具和功能(YARA、ClamAV、Windows 工件解析器、事件日志等),生成输出(时间线、警报、报告),并有助于检查进程行为异常、注入模块、伪装、异常父子关系等。
功能
- 自动安装和自动更新许多依赖工具,例如 MemProcFS 本身、AmcacheParser、AppCompatCacheParser、EvtxECmd、YARA、Kibana 等。
- 支持安装内存快照(物理或崩溃转储),如磁盘映像,处理 Windows“页面文件”支持和压缩功能
- 操作系统指纹识别、浏览带有父子链的进程树、检测进程路径/名称伪装和异常用户上下文
- 能够使用自定义 YARA 规则和内置 YARA 规则集进行扫描,在 Windows 上使用 ClamAV 进行多线程扫描
- 提取 Windows 工件:注册表、事件日志(EVTX)、浏览器历史记录、Amcache、ShimCache、Prefetch、LNK 快捷方式等。
- 以 CSV 格式报告/输出,组织可疑文件以供进一步分析、存档证据、生成时间线等。
程式语言
PowerShell的
分类
此应用程序也可从 https://sourceforge.net/projects/memprocfs-analyzer.mirror/ 获取。它已托管在 OnWorks 中,以便通过我们的免费操作系统之一以最便捷的方式在线运行。