MemProcFS:在虚拟文件系统中以文件形式查看物理内存

admin 2024年7月20日23:46:56评论36 views字数 2592阅读8分38秒阅读模式
关于
MemProcFS是一款功能强大且方便实用的物理内存数据查看工具,该工具可以帮助广大研究人员在一个虚拟文件系统中中以文件形式查看物理内存数据。
MemProcFS:在虚拟文件系统中以文件形式查看物理内存
工具特性
该工具支持以「鼠标点击」的方式进行内存分析,无需复杂的命令行参数,可以通过挂载的虚拟文件系统中的文件或通过功能丰富的应用程序库访问内存内容和组件,也支持将该工具引入到自己的项目中。
支持分析内存转储文件和实时内存数据,也支持从虚拟机或PCILeech FPGA硬件设备以读写模式分析实时内存。
工具安装

发布版本

广大研究人员可以直接访问该项目【https://github.com/ufrisk/MemProcFS/releases/latest】下载最新版本的MemProcFS源码、模块和配置文件。

源码安装

除此之外,我们还可以进行手动代码构建。(适用于Linux)
首先使用下列命令将该项目源码克隆至本地:
git clone https://github.com/ufrisk/MemProcFS.git
然后使用下列命令安装该工具所需的依赖组件:
sudo apt-get install make gcc pkg-config libusb-1.0 libusb-1.0-0-dev libfuse2 libfuse-dev libpython3-dev lz4 liblz4-dev
然后运行下列构建命令即可:

~$ sudo apt-get install make gcc pkg-config libusb-1.0 libusb-1.0-0-dev libfuse2 libfuse-dev lz4 liblz4-dev~$ mkdir build~$ cd build~/build$ git clone https://github.com/ufrisk/LeechCore~/build$ git clone https://github.com/ufrisk/MemProcFS~/build$ cd LeechCore/leechcore~/build/LeechCore/leechcore$ make~/build/LeechCore/leechcore$ cd ../../MemProcFS/vmm~/build/MemProcFS/vmm$ make~/build/MemProcFS/vmm$ cd ../memprocfs~/build/MemProcFS/memprocfs$ make~/build/MemProcFS/memprocfs$ cd ../files### NOTE! before running memprocfs it's recommended to copy the file 'info.db' from the latest binary### release at https://github.com/ufrisk/MemProcFS/releases/latest and put it alongside memprocfs binary.### info.db is an sqlite database which contains common type and symbol offsets required for some tasks.~/build/MemProcFS/files$  ./memprocfs -device <your_dumpfile_or_device> -mount <your_full_mount_point>
Python版本安装

MemProcFS的Python版本需要Python 3.6+环境,可以直接使用下列命名完成安装:
pip install memprocfs
或:
pip3 install memprocfs
依赖组件安装命令如下:
sudo apt-get install make gcc pkg-config libusb-1.0 libusb-1.0-0-dev libfuse2 libfuse-dev lz4 liblz4-dev
工具使用样例
打开命令行接口,然后使用下列命令即可开始使用MemProcFS。除此之外,我们还可以使用MemProcFS.exe注册内存转储文件扩展名,注册完成后,直接鼠标双击内存转储文集8安即可自动加载文件系统。
以默认M加载内存转储文件:
memprocfs.exe -device c:tempwin10x64-dump.raw
以默认M加载内存转储文件,开启Verbose模式:
memprocfs.exe -device c:tempwin10x64-dump.raw -v
以默认M加载内存转储文件,开启取证模式:
memprocfs.exe -device c:tempwin10x64-dump.raw -forensic 1
以默认M加载内存转储文件,开启取证模式,开启Yara扫描:
memprocfs.exe -device c:tempwin10x64-dump.raw -forensic 1 -forensic-yara-rules c:yararuleswindows_malware_index.yar
在Linux上以/home/pi/mnt/加载内存转储文件:

./memprocfs -mount /home/pi/linux -device /dumps/win10x64-dump.raw
以S加载内存转储文件:

memprocfs.exe -mount s -device c:tempwin10x64-dump.raw
以只读模式使用WinPMEM驱动器加载实时目标内存:
memprocfs.exe -device pmem
以读写模式使用PCILeech FPGA内存采集设备加载实时目标内存:
memprocfs.exe -device fpga -memmap auto
使用相应的页面文件加载一个内存转储文件:
memprocfs.exe -device unknown-x64-dump.raw -pagefile0 pagefile.sys -pagefile1 swapfile.sys
工具截图
MemProcFS:在虚拟文件系统中以文件形式查看物理内存
MemProcFS:在虚拟文件系统中以文件形式查看物理内存
MemProcFS:在虚拟文件系统中以文件形式查看物理内存
许可证协议
本项目的开发与发布遵循AGPL-3.0开源许可协议。
项目地址
MemProcFS:
https://github.com/ufrisk/MemProcFS

原文始发于微信公众号(FreeBuf):MemProcFS:在虚拟文件系统中以文件形式查看物理内存

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月20日23:46:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   MemProcFS:在虚拟文件系统中以文件形式查看物理内存http://cn-sec.com/archives/2777241.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息