Paweł Goleń, blog

Ukazała się nowa wersja AuditViewer (MindSniffer, Updated Audit Viewer released), narzędzia, które pozwala w wygodny sposób przeglądać wyniki Memoryze.

Memoryze to narzędzie służące do analizy (zrzutu) pamięci badanego systemu Windows (przypominam również o istnieniu narzędzia Volatility służącego z grubsza do tego samego celu). Memoryze jest ciekawym narzędziem, jego wadą jest jednak niezbyt wygodna konfiguracja przez “skrypty”. Nowy AuditViewer zawiera GUI pozwalające na wygodniejszą pracę z Memoryze , przy czym na własne potrzeby wprowadziłem dwie drobne zmiany do MemoryzeLauncher.py :

• domyślnie wybrane są opcje analizy pliku, których zwykle używam,
• plik “skryptu” tworzy się w katalogu tymczasowym, a nie w katalogu aplikacji,

Pierwsza zmiana wynika z faktu, że jestem leniwy i nie chce mi się wiele razy klikać tego samego. Drugą wprowadziłem dlatego, że jestem zdeklarowanym zwolennikiem LUA - nie widzę powodu, by analiza zrzutu pamięci musiała odbywać się z prawami administracyjnymi, a takie są potrzebne (przynajmniej u mnie) by pisać do %25programfiles%25.

Oryginał tego wpisu dostępny jest pod adresem Memoryze i (nowy) AuditViewer

Autor: Paweł Goleń