9月
18
Memoryze Batch Script オプションメモ
[win32dd]と[mdd]などで取得したメモリイメージを解析するツール[Memoryze]のバッチスクリプトのオプションメモです。
公式サイトはココ
MemoryDD.bat | ||
AcquireMemory.Batch.xmlを実行し、メモリイメージを取得・作成するバッチスクリプト |
||
オプション | 効果 | |
-offset | 取得する物理メモリのオフセットを指定。指定しない場合はすべて取得。 |
|
-size | 取得する物理メモリのサイズを指定。指定しない場合はすべて取得。 |
|
-output | ダンプを出力するディレクトリを指定。デフォルトでは「./Audit」 |
ProcessDD.bat | ||
AcquireProcessMemory.Batch.xmlを実行し、スタック、ヒープ、DLLs、EXEs、NLSsファイルを含むメモリイメージを取得・作成するバッチスクリプト |
||
オプション | 効果 | |
-input | 分析するメモリイメージを指定。省略した場合はライブメモリが対象。 |
|
-pid | 取得するプロセスIDを指定。 |
|
-process | 取得するプロセス名を指定。 |
|
-output | ダンプを出力するディレクトリを指定。デフォルトでは「./Audit」 |
DriverDD.bat | ||
AcquireDriver.Batch.xmlを実行し、指定されたドライバ、もしくは、すべてのドライブ情報を含むメモリイメージを取得・作成するバッチスクリプト |
||
オプション | 効果 | |
-input | 分析するメモリイメージを指定。省略した場合はライブメモリが対象。 |
|
-driver | 取得するドライバ名を指定。指定しない場合はすべてのドライバ。 |
|
-output | ダンプを出力するディレクトリを指定。デフォルトでは「./Audit」 |
Process.bat | ||
AcquireDriver.Batch.xmlを実行し、オープンポート、ファイル、キー、文字列情報を含むメモリイメージもしくはすべての情報を収集するバッチスクリプト |
||
オプション | 効果 | |
-input | 分析するメモリイメージを指定。省略した場合はライブメモリが対象。 |
|
-pid | 調査するPIDを指定。指定しない場合はすべてのPIDと同等の4294967295が使用される。 |
|
-process | 調査するプロセス名を指定。デフォルトでは無効。 |
|
-handles | すべてのメモリ中におけるハンドルについて調査するか否かを[true]か[false]で指定。指定しない場合は[false] |
|
-sections | すべてのプロセス中におけるメモリレンジを調査するか否かを[true]か[false]で指定。指定しない場合は[false] |
|
-ports | すべてのプロセス中におけるポートを調査するか否かを[true]か[false]で指定。指定しない場合は[false] |
|
-strings | すべてのプロセス中における文字列を調査するか否かを[true]か[false]で指定。指定しない場合は[false] |
|
-output | 結果を出力するディレクトリを指定。デフォルトでは「./Audit」 |
DriverWalkList.bat | ||
DriverAuditModuleList.Batch.xmlを実行し、PsLoadedModuleListを起点にドライバを列挙するバッチスクリプト |
||
オプション | 効果 | |
-input | 分析するメモリイメージを指定。省略した場合はライブメモリが対象。 |
|
-output | 結果を出力するディレクトリを指定。デフォルトでは「./Audit」 |
DriverWalkList.bat | ||
DriverAuditSignature.Batch.xmlを実行し、すべてのロードされているドライバを発見するバッチスクリプト |
||
オプション | 効果 | |
-input | 分析するメモリイメージを指定。省略した場合はライブメモリが対象。 |
|
-output | 結果を出力するディレクトリを指定。デフォルトでは「./Audit」 |
HookDetection.bat | ||
RootkitAudit.Batch.xmlを実行し、カーネルメモリでのフックを特定するバッチスクリプト |
||
オプション | 効果 | |
-input | 分析するメモリイメージを指定。省略した場合はライブメモリが対象。 |
|
-idt | IDT(Interrupt Descriptor Table)を確認するか否かを[true]か[false]で指定。指定しない場合は[true] |
|
-ssdt | システムコールテーブルを確認するか否かを[true]か[false]で指定。指定しない場合は[true] SSDT(System Service Descriptor Table) |
|
-functions | システムコールテーブルファンクションを確認するか否かを[true]か[false]で指定。指定しない場合は[true] |
|
-drivers | すべてのドライバをIRP(I/O Request Packet)テーブルから確認するか否かを[true]か[false]で指定。指定しない場合は[true] |
|
-output | 結果を出力するディレクトリを指定。デフォルトでは「./Audit」 |