Gustavo Sied > Sin categoría > Mandiant Memoryze (Forense de memoria en vivo) :: Herramientas

Mandiant Memoryze (Forense de memoria en vivo) :: Herramientas

5 febrero, 2014 0 Comentarios

Sin categoría

,

Memoryze de Mandiant es libre memoria software forense que ayuda a los socorristas de incidentes encontrar mal en vivo memoria. Memoryze se puede adquirir y / o analizar imágenes de la memoria, y en los sistemas vivos, se puede incluir el archivo de paginación en su análisis.

Memoryze de Mandiant cuenta:
  • la gama completa de la memoria del sistema (no dependiente de llamadas a la API).

    • una imagen de controladores o los controladores cargados en la memoria en el disco especificado

  • enumerar todos los procesos en ejecución (incluyendo los que están ocultos por rootkits). Para cada proceso, Memoryze puede:
    • Reporta manijas todas abiertas en un proceso (por ejemplo, todos los archivos, claves de registro, etc)
    • lista el espacio de direcciones virtuales de un proceso dado que incluye:
      • mostrar todos los archivos DLL cargados
      • que muestra todas las porciones asignadas de la pila y pila de ejecución
    • lista de todos los conectores de red que tiene abierto el proceso, incluyendo cualquier oculta por rootkits
    • especificarán las funciones importadas por el EXE y DLL
    • especifique las funciones exportadas por el EXE y DLL
    • de hash el EXE y DLL en el espacio de direcciones de proceso (MD5, SHA1, SHA256 Esto es basado en disco.).

      • verificar las firmas digitales de los archivos EXE y DLL. (Esto es basado en disco.)

      white; font-family: Helvetica Neue, Arial, Helvetica, sans-serif;»> Identificar todos los controladores cargados en la memoria, incluyendo los que están ocultos por rootkits. Para cada conductor, Memoryze puede:

      • especifica las funciones de las importaciones del controlador
      • especifican las funciones de las exportaciones de controladores.

        • comprobar la firma digital del controlador (. Esto es basado en disco)

      • salida de todas las cadenas en memoria en una base de por conductor
    • reportan un dispositivo y estratificación del conductor, que se puede utilizar para interceptar los paquetes de red, las pulsaciones del teclado y del fichero de actividad
    • identificar todos los módulos del kernel cargados por caminar una lista enlazada
    • identificar ganchos (a menudo utilizados por los rootkits) en la tabla de llamadas del sistema, las tablas de descriptores de interrupción (IDT) y tablas de funciones del controlador (tablas IRP)

    Memoryze de Mandiant puede realizar todas estas funciones en la memoria del sistema en vivo o archivos de imagen de memoria – si éstos fueron adquiridos por Memoryze u otras herramientas de adquisición de la memoria
    Memoryze apoya oficialmente ::
    • Windows 2000 Service Pack 4 (32-bit)
    • Windows XP Service Pack 2 y Service Pack 3 (32-bit)
    • Windows Vista Service Pack 1 y Service Pack 2 (32-bit)
    • * Windows Vista Service Pack 2 (64-bit)
    • Windows 2003 Service Pack 2 (32-bit y 64-bit)
      • white; font-family: Helvetica Neue, Arial, Helvetica, sans-serif;»> * Windows 2008 Service Pack 1 y Service Pack 2 (32-bit)

      white; font-family: Helvetica Neue, Arial, Helvetica, sans-serif;»> * Windows 8 Service Pack 0 (32 bits y 64-bit)

      * medios de soporte para un nuevo sistema operativo sin la experiencia de millones de anfitrión

Para visualizar la salida del Memoryze, por favor descargue Redline ™ o utilizar un visor de XML. Redline es una herramienta de primer nivel Mandiant libre para investigar hosts en busca de signos de actividad maliciosa a través de la memoria y el análisis de archivos, y el desarrollo de un perfil de evaluación de amenazas.

Tutoriales ::

Youtube :: Haga clic aquí
Foro :: Mandiant Foro Memoryze
Guía del usuario :: Memoryze Guía del usuario PDF