Memoryze

라이브 메모리에서 침해 발견

Mandiant의 Memoryze™는 대응자가 라이브 메모리에서 침해를 발견하도록 돕는 무료 메모리 포렌식 소프트웨어입니다. Memoryze는 메모리 이미지를 획득 및/또는 분석할 수 있으며 라이브 시스템에는 분석된 페이지 파일이 포함될 수 있습니다.

Memoryze의 기능:

  • 전체 범위의 시스템 메모리를 이미지화합니다(API 호출에 의지하지 않음).
  • 프로세스에 로드된 DLL, EXE, 힙 및 스택을 포함하여 프로세스의 전체 주소 공간을 디스크에 이미지화합니다.
  • 메모리에 로드된 특정 드라이버 또는 모든 드라이버를 디스크에 이미지화합니다.
  • 다음을 포함하여 모든 실행 프로세스(루트킷에 의해 숨겨진 프로세스 포함)를 나열합니다.
    • 프로세스의 모든 공개된 처리를 보고합니다(모든 파일, 레지스트리 키 등 포함).
    • 모든 로드된 DLL을 포함하여 주어진 프로세스의 가상 주소 공간과 힙 및 스택의 모든 할당된 부분을 나열합니다.
    • 루트킷에 의해 숨겨진 프로세스를 포함하여 프로세스를 통해 열린 모든 네트워크 소켓을 나열합니다.
    • EXE 및 DLL을 통해 가져오고 내보내지는 기능을 지정합니다.
    • 프로세스 주소 공간에서 EXE 및 DLL을 해시합니다(MD5, SHA1, SHA256.  디스크를 기반으로 합니다).
    • EXE 및 DLL의 디지털 서명을 확인합니다(디스크 기반).
    • 프로세스 기반으로 메모리의 모든 문자열을 출력합니다.
  • 루트킷에 의해 숨겨진 드라이버를 포함하여 메모리에 로드된 모든 드라이버를 확인합니다. 각 드라이버에 대해 Memoryze는 다음과 같은 작업을 할 수 있습니다.
    • 드라이버가 가져오고 내보내는 기능을 지정합니다.
    • 드라이버를 해시합니다(MD5, SHA1, SHA256. 디스크 기반).
    • 드라이버의 디지털 서명을 확인합니다(디스크 기반).
    • 드라이버 기반으로 메모리의 모든 문자열을 출력합니다.
  • 네트워크 패킷, 키스트로크 및 파일 활동을 차단하는 데 사용될 수 있는 장치 및 드라이버 계층 분류를 보고합니다.
  • 연결된 목록을 표시하여 모든 로드된 커널 모듈을 확인합니다. 시스템 호출 표, 차단 설명 표(IDT) 및 드라이버 기능 표에서 후크(종종 루트킷에 의해 사용됨)를 확인합니다.

Mac용 Memoryze는 다음 기능을 제공합니다.

  • 전체 범위의 시스템 메모리를 이미지화합니다.
  • 개별 프로세스 메모리 지역을 획득합니다.
  • 모든 실행 중인 프로세스를 나열합니다(루트킷에 의해 숨겨진 프로세스 포함).
  • 각 프로세스에 대해 Mac용 Memoryze는 다음을 수행할 수 있습니다.
    • 프로세스에서 모든 열린 파일 처리를 보고합니다(모든 파일, 소켓, 파이프 등 포함).
    • 다음을 포함하여 프로세스의 가상 주소 공간을 나열합니다.
      • 로드된 라이브러리
      • 힙 및 실행 스택의 할당된 부분
      • 네트워크 연결
      • 루트킷에 의해 숨겨진 부분을 포함하여 모든 로드된 커널 연장
      • 시스템 호출 표 및 마하 트랩 표
      • 모든 실행 중인 마하 작업
      • ASLR 지원

Mandiant의 Memoryze는 라이브 시스템 메모리 또는 메모리 이미지 파일이 Memoryze 또는 다른 메모리 획득 도구에 의해 획득되었는지에 상관 없이 모든 이러한 기능을 수행할 수 있습니다.

Memoryze 다운로드


Memoryze

Memoryze 릴리스 노트

현재 버전: Memoryze 3.0
릴리스 날짜: 2013년 7월 23일

  • Memoryze 3.0 소개:
    • 모든 12가지 TCP 상태에 대한 포렌식 보고
    • Memoryze 3.0 출력을 Redline으로 가져와 볼 수 있는 기능
    • IPv6 지원
    • 여러 버그 수정
  • 지원하는 운영 체제: Windows 8 x86 및 x64, Windows Server 2012 x64
  • 파일 크기: 8.21 MB
  • 무결성 해시:
    • MD5: 94973F0FE06E94F32A727B7860A35096
    • SHA-1: 4F719A43C7464E1794398DDE9EB1DD43AF6193D7

Memoryze 공식 지원:

  • Windows 2000 서비스 팩 4(32비트)
  • Windows XP 서비스 팩 2 및 서비스 팩 3(32비트)
  • Windows Vista 서비스 팩 1 및 서비스 팩 2(32비트)
  • Windows Vista 서비스 팩 2(64비트)*
  • Windows 2003 서비스 팩 2(32비트 및 64비트)
  • Windows 7 서비스 팩 0(32비트 및 64비트)
  • Windows 2008 서비스 팩 1 및 서비스 팩 2(32비트)*
  • Windows 2008 R2 서비스 팩 0(64비트)
  • Windows 8 서비스 팩 0(32비트 및 64비트)*
  • Windows Server 2012 서비스 팩 0(64비트)*

*는 수백만 호스트의 경험이 없는 새로운 운영 체제를 지원하는 것을 의미합니다. Memoryze의 출력을 시각화하려면 Redline을 다운로드하거나 XML 뷰어를 사용하십시오. Redline은 메모리 및 파일 분석을 통해 악성코드 활동의 징후에 대해 호스트를 조사하고 위협 평가 프로파일의 개발을 돕기 위한 FireEye의 주요 무료 툴입니다.

Memoryze 릴리스 노트(Mac)

현재 버전: Memoryze for the Mac 1.1
릴리스 날짜: 2012년 11월 5일

  • 지원되는 운영 체제: Mac OS X Snow Leopard(10.6) 32/64비트, Mac OS X Lion(10.7) 32/64비트, Mac OS X Mountain Lion(10.8) 64비트
  • 파일 크기: 251 KB
  • 무결성 해시:
    • MD5 (MacMemoryze.dmg): C3463BBBDB597A1F29169F1331D690F6
    • SHA-1 (MacMemoryze.dmg): 9C84D86FE4B10FAE482CB794719205134F02A802