Memoryze

Angreiferaktivitäten im Arbeitsspeicher aufdecken

Memoryze™ von Mandiant ist ein kostenloses Forensiktool, mit dem IT-Notfallteams Angreiferaktivitäten im Arbeitsspeicher aufdecken können. Memoryze kann Speicher-Images aufzeichnen und/oder analysieren und berücksichtigt bei der Analyse laufender Systeme auch die Auslagerungsdatei.

Memoryze bietet folgende Funktionalität:

  • Image-Erstellung für die gesamte Bandbreite des Systemspeichers (unabhängig von API-Aufrufen)
  • Erstellung eines Festplatten-Image für den gesamten Adressbereich eines Prozesses inklusive aller geladenen DLL- und EXE-Dateien sowie aller Heaps und Stacks
  • Festplatten-Image eines bestimmten Treibers oder aller im Speicher geladenen Treiber
  • Auflistung aller laufenden Prozesse (auch wenn diese durch Rootkits verborgen werden), u. a.:
    • Bericht zu allen offenen Handles eines Prozesses (inklusive aller Dateien, Registry-Schlüssel usw.)
    • Auflistung des virtuellen Adressbereichs eines Prozesses inklusive aller geladenen DLL-Dateien und aller allokierten Heap- und Stackbereiche
    • Auflistung aller Netzwerk-Sockets, die ein Prozess geöffnet hat, einschließlich der durch Rootkits verborgenen Sockets
    • Spezifizierung der Funktionen, die durch die EXE- und DLL-Dateien importiert und exportiert wurden
    • Hash-Erstellung für EXE- und DLL-Dateien im Prozess-Adressbereich (MD5, SHA1, SHA256;  dateiträgerbasierter Vorgang)
    • Verifizierung der digitalen Signaturen der EXE- und DLL-Dateien (dateiträgerbasiert)
    • Ausgabe aller im Arbeitsspeicher enthaltenen Strings, aufgelistet nach Prozessen
  • Identifizierung aller im Speicher geladenen Treiber (auch durch Rootkits verborgene). Für jeden Treiber kann Memoryze folgende Aufgaben ausführen:
    • Auflisten der Funktionen, die der Treiber importiert und exportiert hat
    • Erstellung eines Treiber-Hashes (MD5, SHA1, SHA256; dateiträgerbasierter Vorgang)
    • Verifizierung der digitalen Signatur des Treibers (dateiträgerbasiert)
    • Ausgabe aller im Arbeitsspeicher enthaltenen Strings, aufgelistet nach Treibern
  • Bericht zur Geräte- und Treiber-Struktur („Layering“): Durch die Manipulation dieser Struktur können Netzwerkpakete, Tastaturanschläge und Datenaktivitäten abgefangen werden.
  • Identifizierung aller geladenen Kernel-Module durch die schrittweise Analyse einer verknüpften Liste Identifizierung von Hooks (werden häufig von Rootkits verwendet) in der System Call Table, den Interrupt Descriptor Tables (IDTs) und Treiberfunktionstabellen

Memoryze for the Mac bietet folgende Funktionalität:

  • Image-Erstellung für die gesamte Bandbreite des Systemspeichers
  • Aufzeichnung der von einzelnen Prozessen genutzten Speicherbereiche
  • Auflistung aller laufenden Prozesse (auch wenn diese durch Rootkits verborgen werden).
  • Für jeden Prozess kann Memoryze for the Mac folgende Aktionen durchführen:
    • Bericht zu allen offenen Handles eines Prozesses (inklusive allen Dateien, Sockets, Pipes)
    • Auflistung des virtuellen Adressbereichs eines Prozesses inklusive folgender Komponenten:
      • geladene Bibliotheken
      • allokierte Bereiche des Heaps und des Ausführungs-Stacks
      • Netzwerkverbindungen
      • alle geladenen Kernel-Erweiterungen (auch wenn diese durch Rootkits verborgen werden)
      • System Call Table und Mach Trap Table
      • alle laufenden Mach-Tasks
      • ASLR-Support

Memoryze von Mandiant kann all diese Funktionen für den aktuellen Inhalt des Arbeitsspeichers oder für Speicher-Imagedateien ausführen – unabhängig davon, ob diese von Memoryze oder einem anderen Speichererfassungstool aufgezeichnet wurden.

Memoryze herunterladen

Memoryze

Release Notes für Memoryze

Aktuelle Version: Memoryze 3.0
Veröffentlichungsdatum: 23. Juli 2013

  • Memoryze 3.0 bietet folgende Neuerungen:
    • Forensische Berichterstellung für alle zwölf TCP-Status
    • Import von Memoryze 3.0-Output zur Anzeige in Redline
    • Unterstützung für IPv6
    • Mehrere Bug Fixes
  • Unterstützung für folgende Betriebssysteme: Windows 8 x86 und x64, Windows Server 2012 x64
  • Dateigröße: 8,21 MB
  • Hash (zur Integritätsprüfung):
    • MD5: 94973F0FE06E94F32A727B7860A35096
    • SHA-1: 4F719A43C7464E1794398DDE9EB1DD43AF6193D7

Memoryze unterstützt offiziell:

  • Windows 2000 Service Pack 4 (32 Bit)
  • Windows XP Service Pack 2 und Service Pack 3 (32 Bit)
  • Windows Vista Service Pack 1 und Service Pack 2 (32 Bit)
  • Windows Vista Service Pack 2 (64 Bit)*
  • Windows 2003 Service Pack 2 (32 Bit und 64 Bit)
  • Windows 7 Service Pack 0 (32 Bit und 64 Bit)
  • Windows 2008 Service Pack 1 und Service Pack 2 (32 Bit)*
  • Windows 2008 R2 Service Pack 0 (64 Bit)
  • Windows 8 Service Pack 0 (32 Bit und 64 Bit)*
  • Windows Server 2012 Service Pack 0 (64 Bit)*

* Unterstützung für ein neues Betriebssystem ohne Erfahrung mit Millionen von Hosts. Um die von Memoryze ausgegebenen Daten grafisch darzustellen, laden Sie bitte Redline oder einen anderen XML-Viewer herunter. Redline ist ein kostenloses Premium-Tool von FireEye zur Host-Analyse. Es analysiert Speichermedien und Dateien und erstellt ein Bedrohungsprofil, um Anzeichen für verdächtige Aktivitäten zu finden.

Release Notes für Memoryze for the Mac

Aktuelle Version: Memoryze for the Mac 1.1
Veröffentlichungsdatum: 5. November 2012

  • Unterstützte Betriebssysteme: Mac OS X Snow Leopard (10.6) 32/64 Bit, Mac OS X Lion (10.7) 32/64 Bit, Mac OS X Mountain Lion (10.8) 64 Bit
  • Dateigröße: 251 KB
  • Hash (zur Integritätsprüfung):
    • MD5 (MacMemoryze.dmg): C3463BBBDB597A1F29169F1331D690F6
    • SHA-1 (MacMemoryze.dmg): 9C84D86FE4B10FAE482CB794719205134F02A802