• Memoryze(以前称为曾免费代理)是一个免费的存分析工具,不仅可以获得的物理存储器从Microsoft Windows系统上,但它也可以执行高级分析的生活记忆的话,计算机运行。 所有的分析可以做到无论是针对一个获取的图像或现场系统。

    Memoryze需要XML文件,一定要做什么,并Memoryze然后输出结果以XML格式。 用户可以配置的各个参数内每个执行脚本,以便执行所需的行动。

    若干默认执行的脚本提供Memoryze的安装。 这些脚本包括:

    AcquireDriver.Batch.xml

    AcquireMemory.Batch.xml

    AcquireProcessMemory.Batch.xml

    DriverAuditModuleList.Batch.xml

    DriverAuditSignature.Batch.xml

    ProcessAuditMemory.Batch.xml

    RootkitAudit.Batch.xml

    每个剧本的选择将能深入讨论,与的例子。

    使Memoryze更容易使用,每个执行剧本已经包裹通过相应的批文件。 所有的参数,在XML执行脚本可以修改从命令行使用的论据的批量文件。 批文件包括:

    MemoryDD的。蝙蝠获得图像的物理存储器。

    ProcessDD的。蝙蝠获得的图像进程'的地址空间。

    DriverDD的。蝙蝠获得图像的一个驱动程序。

    过程。蝙蝠一一列举的一切有关进程,包括处理、虚拟存储、网络端口,和弦。

    HookDetection的。蝙蝠寻找挂钩的内部操作系统。

    DriverSearch的。蝙蝠找到的驱动程序。

    DriverWalkList的。蝙蝠一一列举所有模块和驱动程序相联系的名单。

    Memoryze创建XML文件包含的分析结果。 目前,曾不提供一个独立的外部观察者对Memoryze的结果。 然而,结果文件能够显示任何XML观察者,例如Windows Internet Explorer,火狐,或者甚至Microsoft Excel2007年。 小心! 一些XML观众可以是缓慢的时装载大XML文件。

    有两种方式使用Memoryze的。

    一个办法是使用XML命令的文件原来Memoryze.exe中。 这需要编辑*.Batch.xml 文件配置Memoryze执行所需任务。

    其他的选择是使用命令行批脚本提供。 这些批脚本生成的XML命令的文件所需的审计使用该项规定的批文件的命令行。

    使用批脚本消除了需要编辑一个XML文件。 这些批脚本便于交互使用。

    Memoryze.exe 是可执行的命令行参数和执行的XML审计或脚本。 Memoryze命令行参数如下:

    ‐o[目录]

    《任择目录参数指定的位置存储的结果。 如果这个位置是没有指定,结果是默认存储/审计//. 是该系统名称,在这Memoryze执行,并且是一个日期/时间邮票的格式YYYYMMDDHHMMSS的。

    ‐script

    执行指定的审计(*.Batch.xml)

    ‐encoding[无|aff|gzip]

    没有–没有编码输出

    aff–输出压缩在一个AFF证据的容器

    gzip–压缩输出GZIP

  • Mandiant Memoryze (पूर्व के रूप में जाना जाता Mandiant नि: शुल्क एजेंट) एक नि: शुल्क स्मृति विश्लेषण उपयोगिता नहीं कर सकते हैं कि केवल प्राप्त भौतिक स्मृति से एक माइक्रोसॉफ्ट विंडोज सिस्टम के लिए, लेकिन यह भी उन्नत विश्लेषण प्रदर्शन के लाइव स्मृति को कंप्यूटर पर चल रहा है. सभी विश्लेषण किया जा सकता है या तो के खिलाफ एक अधिग्रहीत छवि या एक जीवित प्रणाली है ।

    Memoryze लेता है XML दस्तावेज़ है कि क्या परिभाषित करने के लिए करते हैं, और Memoryze तो परिणाम outputs XML स्वरूप में है । उपयोगकर्ता कर सकते हैं कॉन्फ़िगर व्यक्तिगत मापदंडों के भीतर प्रत्येक निष्पादन स्क्रिप्ट प्रदर्शन करने के क्रम में वांछित कार्रवाई.

    कई डिफ़ॉल्ट निष्पादन लिपियों के साथ प्रदान की जाती हैं Memoryze की स्थापना । इन लिपियों में शामिल हैं:

    AcquireDriver.Batch.xml

    AcquireMemory.Batch.xml

    AcquireProcessMemory.Batch.xml

    DriverAuditModuleList.Batch.xml

    DriverAuditSignature.Batch.xml

    ProcessAuditMemory.Batch.xml

    RootkitAudit.Batch.xml

    प्रत्येक स्क्रिप्ट के विकल्प में चर्चा की जाएगी गहराई, उदाहरण के साथ.

    बनाने के लिए Memoryze आसान का उपयोग करने के लिए, प्रत्येक निष्पादन स्क्रिप्ट लपेटा गया है द्वारा एक इसी बैच फ़ाइल है । सभी मापदंडों में XML स्क्रिप्ट निष्पादन से संशोधित किया जा सकता कमांड लाइन तर्क का उपयोग करने के लिए बैच फ़ाइल है । बैच फ़ाइलों में शामिल हैं:

    MemoryDD.bat प्राप्त करने के लिए एक छवि के भौतिक स्मृति है ।

    ProcessDD.bat प्राप्त करने के लिए एक छवि की' प्रक्रिया पता स्थान है ।

    DriverDD.bat प्राप्त करने के लिए एक छवि के एक ड्राइवर है ।

    प्रक्रिया । बल्ले की गणना करने के लिए सब कुछ के बारे में एक प्रक्रिया सहित संभालती है, आभासी स्मृति, नेटवर्क बंदरगाहों, और तार.

    HookDetection.बल्लेबाजी के लिए देखने के लिए हुक के भीतर ऑपरेटिंग सिस्टम है ।

    DriverSearch.बल्ले ड्राइवरों को खोजने के लिए.

    DriverWalkList.बल्ले को एन्यूमरेट करने के लिए सभी मॉड्यूल और ड्राइवरों में से एक लिंक की गई सूची.

    Memoryze बनाता है एक्सएमएल दस्तावेजों युक्त विश्लेषण का परिणाम है । वर्तमान में, MANDIANT प्रदान नहीं करता है, एक स्टैंड-अलोन बाहरी दर्शक के लिए Memoryze के परिणाम है. हालांकि, परिणाम फ़ाइलों में प्रदर्शित किया जा सकता किसी भी एक्सएमएल दर्शक – जैसे Windows इंटरनेट एक्सप्लोरर, मोज़िला फ़ायरफ़ॉक्स, या यहां तक कि माइक्रोसॉफ्ट एक्सेल 2007. सावधान! कुछ XML दर्शकों सुस्त हो सकता है जब लोड हो रहा है बड़े XML दस्तावेज़ों.

    वहाँ रहे हैं दो तरीके का उपयोग करने के लिए Memoryze.

    एक तरीका है का उपयोग करने के लिए XML आदेश फ़ाइलों के मूल निवासी Memoryze.exe है । इस संपादन की आवश्यकता है *.Batch.xml फ़ाइलों को विन्यस्त करने के लिए Memoryze प्रदर्शन करने के लिए वांछित कार्य ।

    अन्य विकल्प है का उपयोग करने के लिए कमांड लाइन बैच स्क्रिप्ट प्रदान की है । इन बैच स्क्रिप्ट उत्पन्न XML आदेश फ़ाइलों के लिए वांछित लेखा परीक्षा का उपयोग करने के विकल्प पर निर्दिष्ट बैच फ़ाइल कमांड लाइन.

    का उपयोग कर बैच स्क्रिप्ट की आवश्यकता समाप्त संपादित करने के लिए एक XML फ़ाइल है. इन बैच स्क्रिप्ट कर रहे हैं के लिए सुविधाजनक इंटरैक्टिव का उपयोग करें.

    Memoryze.exe है निष्पादन योग्य लेता है कि कमांड लाइन पैरामीटर और कार्यान्वित XML लेखा परीक्षा या स्क्रिप्ट है । Memoryze कमांड लाइन पैरामीटर निम्नानुसार हैं:

    ‐o [निर्देशिका]

    वैकल्पिक निर्देशिका तर्क निर्दिष्ट स्थान स्टोर करने के लिए परिणाम. यदि इस स्थान निर्दिष्ट नहीं है, परिणाम संग्रहीत कर रहे हैं डिफ़ॉल्ट रूप में /आडिट//. है, सिस्टम के नाम पर जो Memoryze है, को क्रियान्वित करने, और एक तिथि/समय टिकट के प्रारूप में YYYYMMDDHHMMSS.

    ‐script

    कार्यान्वित निर्दिष्ट लेखा परीक्षा (*.Batch.xml)

    ‐encoding [कोई नहीं|एएफएफ|gzip]

    कोई नहीं – कोई एन्कोडिंग का उत्पादन

    aff – लिफाफे के उत्पादन में एक AFF सबूत कंटेनर

    gzip – लिफाफे में उत्पादन GZIP

  • Mandiant Memoryze (formerly known as Mandiant Free Agent) is a free memory analysis utility that can not only acquire the physical memory from a Microsoft Windows system, but it can also perform advanced analysis of live memory while the computer is running. All analysis can be done either against an acquired image or a live system.

    Memoryze takes XML documents that define what to do, and Memoryze then outputs the result in XML format. The user can configure the individual parameters within each execution script in order to perform the desired actions.

    Several default execution scripts are provided with Memoryze’s installation. These scripts include:

    AcquireDriver.Batch.xml

    AcquireMemory.Batch.xml

    AcquireProcessMemory.Batch.xml

    DriverAuditModuleList.Batch.xml

    DriverAuditSignature.Batch.xml

    ProcessAuditMemory.Batch.xml

    RootkitAudit.Batch.xml

    Each script’s options will be discussed in depth, with examples.

    To make Memoryze easier to use, each execution script has been wrapped by a corresponding batch file. All the parameters in the XML execution script can be modified from the command line using arguments to the batch file. The batch files include:

    MemoryDD.bat to acquire an image of physical memory.

    ProcessDD.bat to acquire an image of the process’ address space.

    DriverDD.bat to acquire an image of a driver.

    Process.bat to enumerate everything about a process including handles, virtual memory, network ports, and strings.

    HookDetection.bat to look for hooks within the operating system.

    DriverSearch.bat to find drivers.

    DriverWalkList.bat to enumerate all modules and drivers in a linked list.

    Memoryze creates XML documents containing the analysis results. Currently, MANDIANT does not provide a stand-alone external viewer for Memoryze’s results. However, result files can be displayed in any XML viewer – such as Windows Internet Explorer, Mozilla Firefox, or even Microsoft Excel 2007. Be careful! Some XML viewers can be sluggish when loading large XML documents.

    There are two ways to use Memoryze.

    One way is to use the XML command files native to Memoryze.exe. This requires editing the *.Batch.xml files to configure Memoryze to perform the desired tasks.

    The other option is to use the command-line batch scripts provided. These batch scripts generate the XML command files for the desired audit using the options specified on the batch file command line.

    Using the batch scripts eliminates the need to edit an XML file. These batch scripts are convenient for interactive use.

    Memoryze.exe is the executable that takes the command line parameters and executes the XML audit or script. Memoryze command line parameters are as follows:

    ‐o [directory]

    The optional directory argument specifies the location to store the results. If this location is not specified, the results are stored by default in /Audits//. is the name of the system on which Memoryze is executing, and is a date/time stamp in the format of YYYYMMDDHHMMSS.

    ‐script

    Executes the specified audit (*.Batch.xml)

    ‐encoding [none|aff|gzip]

    none – no encoding of the output

    aff – compresses the output in an AFF evidence container

    gzip – compresses the output in GZIP