运行环境:WinXP/Win7/Win8/Win10/Win All
软件语言:简体中文
软件类型:国产软件 - 系统软件
授权方式:共享版
软件大小:3.52 MB
推荐星级:
解压密码:
联系方式:暂无联系方式
插件情况:
图片预览:
更新时间:2013-03-10 21:16:00
下载统计:
(前身为Mandiant的免费代理)是一个免费的内存分析工具,不仅可以获取从Microsoft Windows系统的物理内存,但它也可以执行高级分析而计算机运行的是实时内存。所有的分析,可以对获取的图像或一个实时系统。
XML脚本
但是Memoryze XML文件定义做什么,但是Memoryze然后将结果输出的神器出山:www.shenqi73.comXML格式。用户可以配置各个参数,在每一个执行脚本,以执行所需的操作。
有几个默认的执行脚本提供与但是Memoryze的安装。这些脚本包括:
AcquireDriver.Batch.xml
AcquireMemory.Batch.xml
AcquireProcessMemory.Batch.xml
DriverAuditModuleList.Batch.xml
DriverAuditSignature.Batch.xml
ProcessAuditMemory.Batch.xml
RootkitAudit.Batch.xml
每个脚本的选项将深入讨论的例子。
批处理文件
为了使Memoryze更容易使用,每次执行脚本已经被包裹着一个相应的批处理文件。所有的XML执行脚本中的参数可以在命令行中使用的批处理文件的参数进行修改。批处理文件包括:
MemoryDD.bat获取图像的物理内存。
ProcessDD.bat获得一个进程的地址空间中的图像。
DriverDD.bat获取图像的驱动程序。
Process.bat以列举的一切,包括手柄,虚拟内存,网络端口和字符串的过程。
HookDetection.bat寻找在操作系统上的钩子。
DriverSearch.bat找到驱动程序。
DriverWalkList.bat在一个链表来枚举所有模块和驱动程序。
查看结果
但是Memoryze创建包含分析结果的XML文档。目前,Mandiant的不提供独立的外部观众但是Memoryze的结果。然而,结果文件可以显示在任何XML浏览器的Windows Internet Explorer,Mozilla Firefox浏览器,甚至是Microsoft Excel 2007中 - 如。请注意!加载大型XML文档时,一些XML的观众可以缓慢的。
执行Memoryze
这里是两种方式使用Memoryze。
一种方法是使用原生XML命令文件到Memoryze.exe。这需要编辑*。Batch.xml文件来配置Memoryze的,以执行所需的任务。
另一种选择是使用命令行批处理脚本。这些批处理脚本生成的XML命令文件的审查所需使用的批处理文件命令行上指定的选项。
使用批处理脚本,无需编辑XML文件。这些批处理脚本是对于交互使用。
使用的XML执行脚本的Memoryze
Memoryze.exe是可执行文件,它的命令行参数,并执行的XML审计或脚本。但是Memoryze命令行参数如下:
-O [目录]
可选的directory参数指定的位置来存储结果。如果没有指定这个位置,结果被存储在/审计/ /默认情况下。但是Memoryze的系统上执行的名称,和在YYYYMMDDHHMMSS格式是日期/时间戳记。
脚本
执行的指定审计(*。Batch.xml)
编码没有AFF | GZIP]
没有 - 没有编码的输出
AFF - 编程输出在AFF证据容器
gzip压缩 - 压缩的输出GZIP
共有 0 位网友发表了评论,得分 0 分,平均 0 分 查看完整评论