但是Memoryze 1.2.1.1_Memoryze 1.2.1.1

最新发布的相关软件：

但是Memoryze 1.2.1.1_Memoryze 1.2.1.1

执行高级分析，而计算机运行的是实时内存

Mandiant的但是Memoryze

（前身为Mandiant的免费代理）是一个免费的内存分析工具，不仅可以获取从Microsoft Windows系统的物理内存，但它也可以执行高级分析而计算机运行的是实时内存。所有的分析，可以对获取的图像或一个实时系统。

XML脚本

但是Memoryze XML文件定义做什么，但是Memoryze然后将结果输出的神器出山:www.shenqi73.comXML格式。用户可以配置各个参数，在每一个执行脚本，以执行所需的操作。
有几个默认的执行脚本提供与但是Memoryze的安装。这些脚本包括：
AcquireDriver.Batch.xml
AcquireMemory.Batch.xml
AcquireProcessMemory.Batch.xml
DriverAuditModuleList.Batch.xml
DriverAuditSignature.Batch.xml
ProcessAuditMemory.Batch.xml
RootkitAudit.Batch.xml

每个脚本的选项将深入讨论的例子。

批处理文件

为了使Memoryze更容易使用，每次执行脚本已经被包裹着一个相应的批处理文件。所有的XML执行脚本中的参数可以在命令行中使用的批处理文件的参数进行修改。批处理文件包括：
MemoryDD.bat获取图像的物理内存。
ProcessDD.bat获得一个进程的地址空间中的图像。
DriverDD.bat获取图像的驱动程序。
Process.bat以列举的一切，包括手柄，虚拟内存，网络端口和字符串的过程。
HookDetection.bat寻找在操作系统上的钩子。
DriverSearch.bat找到驱动程序。
DriverWalkList.bat在一个链表来枚举所有模块和驱动程序。

查看结果

但是Memoryze创建包含分析结果的XML文档。目前，Mandiant的不提供独立的外部观众但是Memoryze的结果。然而，结果文件可以显示在任何XML浏览器的Windows Internet Explorer，Mozilla Firefox浏览器，甚至是Microsoft Excel 2007中 - 如。请注意！加载大型XML文档时，一些XML的观众可以缓慢的。

执行Memoryze

这里是两种方式使用Memoryze。
一种方法是使用原生XML命令文件到Memoryze.exe。这需要编辑*。Batch.xml文件来配置Memoryze的，以执行所需的任务。
另一种选择是使用命令行批处理脚本。这些批处理脚本生成的XML命令文件的审查所需使用的批处理文件命令行上指定的选项。
使用批处理脚本，无需编辑XML文件。这些批处理脚本是对于交互使用。

使用的XML执行脚本的Memoryze

Memoryze.exe是可执行文件，它的命令行参数，并执行的XML审计或脚本。但是Memoryze命令行参数如下：
-O [目录]
可选的directory参数指定的位置来存储结果。如果没有指定这个位置，结果被存储在/审计/ /默认情况下。但是Memoryze的系统上执行的名称，和在YYYYMMDDHHMMSS格式是日期/时间戳记。
脚本
执行的指定审计（*。Batch.xml）
编码没有AFF | GZIP]
没有 - 没有编码的输出
AFF - 编程输出在AFF证据容器
gzip压缩 - 压缩的输出GZIP

下面是一些主要特点，“但是Memoryze”的：

·图像的全方位的系统内存（不依赖于API调用）。
·图像的过程中，整个地址空间到磁盘上。这包括一个进程加载的DLL，EXE文件，堆和栈。
·图像在指定的驱动器或存储到磁盘中加载的所有驱动程序。
·识别所有驱动程序加载到内存中，包括那些隐藏的rootkit。
·报告设备和驱动程序的层次感，可用于拦截网络数据包，键盘和文件活动。
·走了链表，找出所有加载的内核模块。
·识别挂钩？经常使用的Rootkit在系统调用表，中断描述符表（IDT的），和驱动程序功能表的（IRP表）。
枚举所有正在运行的进程（包括隐藏的rootkit）。对于每个进程，但是Memoryze：
·报告进程中的所有打开的句柄（例如，所有的文件，注册表项等）。
·列出一个给定的过程，包括：显示所有加载的DLL /显示所有已分配的部分堆和执行堆栈的虚拟地址空间。
·列出所有网络插座，包括任何隐藏的Rootkit进程打开了。
·输出字符串在内存中的每一个加工基地。