Memoryze - это утилита командной строки, которая позволяет проводить расширенный анализ памяти даже во время работы вашего компьютера.
Он предназначен для получения и анализа изображений в памяти живых систем эффективно и может включать файл подкачки в его анализ, если он предназначен для этого. Memoryze способен отображать полный диапазон системной памяти (не полагаясь на вызовы API), отображая процесс 'всего адресного пространства на диск, включая загруженные EXE-файлы процесса, библиотеки DLL, кучи и стеки, а также визуализация указанного драйвера или всех драйверов, загруженных в память на диск.
Memoryze также перечисляет все запущенные процессы (в том числе скрытые руткитами), в том числе:
-Открыть все открытые дескрипторы процесса (включая все файлы, ключи реестра и т. Д.).
-Посмотреть виртуальное адресное пространство данного процесса, включая все загруженные библиотеки DLL и все выделенные части кучи и стека
-Посмотреть все сетевые сокеты, что процесс открыт, в том числе скрытые руткиты.
-Указать функции, импортированные и экспортированные EXE и DLL.
-Hash EXE и DLL в адресном пространстве процесса (MD5, SHA1, SHA256. Это основано на дисках).
-Использовать цифровые подписи EXE и DLL (на основе дисков).
-Выпуск всех строк в памяти на основе каждого процесса.
Вы также можете определить все загруженные в память драйверы, в том числе скрытые руткитами. Для каждого драйвера Memoryze может:
-Указать функции импорта и экспорта драйверов.
-Установите драйвер (MD5, SHA1 и SHA256 на основе дисков).
-Использовать цифровую подпись драйвера (на основе диска).
-Выполнить все строки в памяти на основе драйвера.
Memoryze сообщит о расположении устройств и драйверов, которые могут использоваться для перехвата сетевых пакетов, нажатий клавиш и активности файлов. Кроме того, он будет идентифицировать все загруженные модули ядра, пройдя связанный список. Определите крючки (часто используемые руткитами) в таблице системных вызовов, таблицах дескрипторов прерываний (IDT) и таблицах функций драйвера.