MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

关于MemProcFS-Analyzer

MemProcFS-Analyzer是一款专门用于DFIR的Windows内存转储自动取证分析工具，该工具本质上是一个PowerShell脚本，可以帮助广大研究人员简化 MemProcFS 的使用并优化内存分析工作流程。

图片[2]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

功能介绍

1、快速简便的内存分析；

2、可以像磁盘映像一样挂载内存快照（原始物理内存转储或 Microsoft Crash Dump）并处理 Windows 上的内存压缩功能；

3、页面文件支持；

4、操作系统指纹识别；

5、使用自定义 YARA 规则进行扫描（包括Chronicle和Elastic Security等制定的 391 条规则）；

6、使用 ClamAV 进行 Windows 的多线程扫描；

7、收集 ClamAV 检测到的受感染文件以供进一步分析（密码：infected）；

8、收集 MemProcFS PE_INJECT 检测到的注入模块以供进一步分析（密码：infected）；

9、支持提取 IPv4/IPv6；

10、使用IPinfo CLI进行 IP2ASN 映射和 GeoIP；

11、检查可疑端口号；

12、流程树（TreeView）包括完整的流程调用链；

13、检查进程是否存在异常父子关系以及实例数量；

14、检查进程中是否存在异常用户上下文；

15、检查进程路径伪装和进程名称伪装；

16、网络浏览器历史记录（Google Chrome、Microsoft Edge 和 Firefox）；

17、提取 Windows 事件日志文件并使用 EvtxECmd 进行处理；

18、事件日志概述；

19、支持使用RECmd；

20、提取 Windows 快捷方式文件 (LNK)；

21、寻找恶意的 Windows 快捷方式文件 (LNK)；

22、收集证据文件；

23、离线模式；

工具要求

PowerShell

工具安装

源码获取

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/evild3ad/MemProcFS-Analyzer.git

发布版本

我们还可以直接访问该项目的Releases页面下载预编译版本的MemProcFS-Analyzer。

工具使用

以管理员身份启动 Windows PowerShell（或 Windows PowerShell ISE 或 Visual Studio Code w/ PSVersion：5.1）并打开/运行 MemProcFS-Analyzer.ps1。

MemProcFS-Analyzer.ps1（首次运行）→Updater.ps1：

图片[3]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

Updater.ps1 自动安装/更新所有依赖项（首次运行）：

图片[4]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

选择内存快照并选择pagefile.sys（可选）：

图片[5]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

接受使用条款（首次运行）：

图片[6]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

图片[7]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

以通过浏览驱动器号来调查已安装的内存转储：

图片[8]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

FindEvil 功能和其他分析：

图片[9]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

查看进程：

图片[10]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

正在运行和已退出的进程：

图片[11]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

流程树（GUI）：

图片[12]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

检查流程树（查找异常）：

图片[13]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

流程树：带有流程调用链的警报消息：

图片[14]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

流程树：属性视图 → 双击流程或警报消息：

图片[15]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

使用 IPinfo.io 的 GeoIP功能：

图片[16]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

使用 IPinfo.io 映射 IP：

图片[17]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

处理 Windows 事件日志（EVTX）：

图片[18]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

关闭 MemProcFS 和 Elastisearch/Kibana：

图片[19]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

安全存档容器（密码：MemProcFS）：

图片[20]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可协议。

项目地址

MemProcFS-Analyzer：

https://github.com/evild3ad/MemProcFS-Analyzer

【FreeBuf粉丝交流群招新啦！

在这里，拓宽网安边界

甲方安全建设干货；

乙方最新技术理念；

全球最新的网络安全资讯；

群内不定期开启各种抽奖活动；

FreeBuf盲盒、大象公仔……

扫码添加小蜜蜂微信回复「加群」，申请加入群聊】

图片[21]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

图片[22]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

图片[23]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

图片[24]-MemProcFS-Analyzer：用于DFIR的Windows内存转储自动取证分析工具-阻击者联盟

文章版权声明 1、本网站名称：阻击者联盟安全社区
2、本站永久网址：https://blogh-ackercn
3、本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系官方群：1170360789进行删除处理。
4、本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5、本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向官方群举报
6、本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

THE END

Freebuf