Memoryze de Mandiant es libre memoria software forense que ayuda a los socorristas de incidentes encontrar mal en vivo memoria. Memoryze se puede adquirir y / o analizar imágenes de la memoria, y en los sistemas vivos, se puede incluir el archivo de paginación en su análisis.
Memoryze de Mandiant cuenta:
la gama completa de la memoria del sistema (no dependiente de llamadas a la API).
una imagen de controladores o los controladores cargados en la memoria en el disco especificado
enumerar todos los procesos en ejecución (incluyendo los que están ocultos por rootkits). Para cada proceso, Memoryze puede:
Reporta manijas todas abiertas en un proceso (por ejemplo, todos los archivos, claves de registro, etc)
lista el espacio de direcciones virtuales de un proceso dado que incluye:
mostrar todos los archivos DLL cargados
que muestra todas las porciones asignadas de la pila y pila de ejecución
lista de todos los conectores de red que tiene abierto el proceso, incluyendo cualquier oculta por rootkits
especificarán las funciones importadas por el EXE y DLL
especifique las funciones exportadas por el EXE y DLL
de hash el EXE y DLL en el espacio de direcciones de proceso (MD5, SHA1, SHA256 Esto es basado en disco.).
verificar las firmas digitales de los archivos EXE y DLL. (Esto es basado en disco.)
white; font-family: Helvetica Neue, Arial, Helvetica, sans-serif;»> Identificar todos los controladores cargados en la memoria, incluyendo los que están ocultos por rootkits. Para cada conductor, Memoryze puede:
especifica las funciones de las importaciones del controlador
especifican las funciones de las exportaciones de controladores.
comprobar la firma digital del controlador (. Esto es basado en disco)
salida de todas las cadenas en memoria en una base de por conductor
reportan un dispositivo y estratificación del conductor, que se puede utilizar para interceptar los paquetes de red, las pulsaciones del teclado y del fichero de actividad
identificar todos los módulos del kernel cargados por caminar una lista enlazada
identificar ganchos (a menudo utilizados por los rootkits) en la tabla de llamadas del sistema, las tablas de descriptores de interrupción (IDT) y tablas de funciones del controlador (tablas IRP)
Memoryze de Mandiant puede realizar todas estas funciones en la memoria del sistema en vivo o archivos de imagen de memoria – si éstos fueron adquiridos por Memoryze u otras herramientas de adquisición de la memoria
Memoryze apoya oficialmente ::
Windows 2000 Service Pack 4 (32-bit)
Windows XP Service Pack 2 y Service Pack 3 (32-bit)
Windows Vista Service Pack 1 y Service Pack 2 (32-bit)
* Windows Vista Service Pack 2 (64-bit)
Windows 2003 Service Pack 2 (32-bit y 64-bit)
white; font-family: Helvetica Neue, Arial, Helvetica, sans-serif;»> * Windows 2008 Service Pack 1 y Service Pack 2 (32-bit)
white; font-family: Helvetica Neue, Arial, Helvetica, sans-serif;»> * Windows 8 Service Pack 0 (32 bits y 64-bit)
* medios de soporte para un nuevo sistema operativo sin la experiencia de millones de anfitrión
Para visualizar la salida del Memoryze, por favor descargue Redline ™ o utilizar un visor de XML. Redline es una herramienta de primer nivel Mandiant libre para investigar hosts en busca de signos de actividad maliciosa a través de la memoria y el análisis de archivos, y el desarrollo de un perfil de evaluación de amenazas.