Офлайн анализатор на памет с помощта на Memoryze за разследване на системата и намиране на зловреден софтуер

Съдържанието на статията

Повечето помощни програми за търсене на злонамерен софтуер анализират системата в режим на живо, след това
яжте по време на нейната работа. Но малко хора знаят за съществуването на програми, които,
освен всичко друго, те са в състояние да извършват така наречените офлайн изследвания, позволяващи
намерете зло в паметта на компютъра, когато няма достъп до него или изобщо до него
изключен. Преди време открих нов начин за намиране на зловреден софтуер,
които използвам ефективно оттогава. Всъщност основната цел
използваният инструмент изобщо не е търсене на руткит, а изчерпателен анализ
памет. Но така се случва, че включените техники са идеални за
за да намерите зловреден софтуер, добре скрит в системата. С помощната програма на Mandiant
Срещнах Memoryze, когато изучавах активно софтуерни решения за
компютърна криминалистика.

Какво е Memoryze?

Програмата Memoryze е позната от първа ръка в компютърните криминалистични кръгове.
Този мощен инструмент за анализ на паметта стана част от този на джентълмена
зададена, истинска програма, която трябва да имате, която не е само в резерв за
подходящ повод, но наистина често се използва. Неговите създатели са
Джейми Бътлър и Питър Силбърман, двама хардкор анализатори на паметта
и зловреден софтуер. Можете да им благодарите още сега, защото те не са само
разработи чудесен инструмент, но също го споделете безплатно.
Дистрибуцията е достъпна за изтегляне от раздела с безплатни програми
търговско дружество
Мандант.

Какво можем да получим, използвайки Memoryze:

Като цяло, когато говорят за Memoryze, те често имат предвид не едно, а две
помощни програми: конзола Memoryze и GUI Application Audit Viewer. Те са тясно свързани
помежду си. Memoryze изхвърля и анализира различни структури за извличане
данни от интерес. Но работата в конзолата не е много удобна, така че съвместно
използва се друга помощна програма - Audit Viewer, която ви позволява да работите с
извлечени данни чрез удобен за потребителя интерфейс. По този начин можете да разберете всичко за
какво се е изпълнявало в системата по време на създаването на изображението.

В някои ситуации е много удобно да имате програмата със себе си, така че е по-добре
просто поставете на USB флаш устройство с достатъчен обем, за да се побере там и
ограбен дъмп на паметта. За щастие помощната програма е готова за пренасяне и
можете да го инсталирате директно от командния ред:

msiexec/a MemoryzeSetup.msi/qb TARGETDIR = path_to_flash_and_folder_on_ it

Няма да е излишно да запишете файловете на Audit Viewer на USB флаш устройството, за да имате веднага
способността да се анализира полученото сметище или дори да се изпълнява „на живо“
системни изследвания.

Създайте изображение в паметта

Сега, когато всички приготовления са завършени, нека опитаме програмата в действие. Като мен
вече казах, Memoryze работи от командния ред. Но за повече удобство с
програмата предоставя няколко групови скрипта за изпълнение на най-типичните
задачи.

След изпълнението на командата има две опции: програмата успешно ще създаде дъмп с
памет или няма да работи. Последното е много вероятно. Факт е, че
за работа Memoryze използва драйвер в режим на ядро, който предоставя програмата
директен достъп до паметта. Няма драйвер - няма сваляне. Има няколко причини за
които водачът няма да може да зареди, но преди всичко - поради липсата на
администраторски права. Така че не забравяйте да го стартирате от главната команда
струни. Друга често срещана причина е антивирусната програма, която може
предотвратяване на директен достъп до паметта. Възможно е за известно време да е необходимо
деактивирайте. Ако всичко върви добре, полученият дъмп ще бъде записан в папката с
извеждане на резултати (по подразбиране в папката с Memoryze/Audits). Структура
Каталогът е проектиран по такъв начин, че повторното изпълнение на процедурата не е така
презаписване на получени изображения. Така че винаги е лесно да се определи дали
какъв компютър и кога е създадено изображението.

Анализиране на сметището

  • Windows 2000 Service Pack 4 (32-битова)
  • Windows XP Service Pack 2 и Service Pack 3 (32-bit);
  • Windows Vista Service Pack 1 и Service Pack 2 (32-битова)
  • Windows 2003 Service Pack 2 (32-битова)
  • Windows 2003 Service Pack 2 (64-битова)
  • Windows 7 Service Pack 0 (32-битова)
  • Windows 7 Service Pack 0 (64-битов);
  • Windows 2008 Service Pack 1 и Service Pack 2 (32-битов);
  • Windows 2008 R2 Service Pack 0 (64-битов).