9月 18

Memoryze Batch Script オプションメモ

[win32dd]と[mdd]などで取得したメモリイメージを解析するツール[Memoryze]のバッチスクリプトのオプションメモです。
公式サイトはココ

MemoryDD.bat
 
 AcquireMemory.Batch.xmlを実行し、メモリイメージを取得・作成するバッチスクリプト
 
オプション 効果
 -offset  
 取得する物理メモリのオフセットを指定。指定しない場合はすべて取得。
 
 -size  
 取得する物理メモリのサイズを指定。指定しない場合はすべて取得。
 
 -output  
 ダンプを出力するディレクトリを指定。デフォルトでは「./Audit」
 

ProcessDD.bat
 
 AcquireProcessMemory.Batch.xmlを実行し、スタック、ヒープ、DLLs、EXEs、NLSsファイルを含むメモリイメージを取得・作成するバッチスクリプト
 
オプション 効果
 -input  
 分析するメモリイメージを指定。省略した場合はライブメモリが対象。
 
 -pid  
 取得するプロセスIDを指定。
 
 -process  
 取得するプロセス名を指定。
 
 -output  
 ダンプを出力するディレクトリを指定。デフォルトでは「./Audit」
 

DriverDD.bat
 
 AcquireDriver.Batch.xmlを実行し、指定されたドライバ、もしくは、すべてのドライブ情報を含むメモリイメージを取得・作成するバッチスクリプト
 
オプション 効果
 -input  
 分析するメモリイメージを指定。省略した場合はライブメモリが対象。
 
 -driver  
 取得するドライバ名を指定。指定しない場合はすべてのドライバ。
 
 -output  
 ダンプを出力するディレクトリを指定。デフォルトでは「./Audit」
 

Process.bat
 
 AcquireDriver.Batch.xmlを実行し、オープンポート、ファイル、キー、文字列情報を含むメモリイメージもしくはすべての情報を収集するバッチスクリプト
 
オプション 効果
 -input  
 分析するメモリイメージを指定。省略した場合はライブメモリが対象。
 
 -pid  
 調査するPIDを指定。指定しない場合はすべてのPIDと同等の4294967295が使用される。
 
 -process  
 調査するプロセス名を指定。デフォルトでは無効。
 
 -handles  
 すべてのメモリ中におけるハンドルについて調査するか否かを[true]か[false]で指定。指定しない場合は[false]
 
 -sections  
 すべてのプロセス中におけるメモリレンジを調査するか否かを[true]か[false]で指定。指定しない場合は[false]
 
 -ports  
 すべてのプロセス中におけるポートを調査するか否かを[true]か[false]で指定。指定しない場合は[false]
 
 -strings  
 すべてのプロセス中における文字列を調査するか否かを[true]か[false]で指定。指定しない場合は[false]
 
 -output  
 結果を出力するディレクトリを指定。デフォルトでは「./Audit」
 

DriverWalkList.bat
 
 DriverAuditModuleList.Batch.xmlを実行し、PsLoadedModuleListを起点にドライバを列挙するバッチスクリプト
 
オプション 効果
 -input  
 分析するメモリイメージを指定。省略した場合はライブメモリが対象。
 
 -output  
 結果を出力するディレクトリを指定。デフォルトでは「./Audit」
 

DriverWalkList.bat
 
 DriverAuditSignature.Batch.xmlを実行し、すべてのロードされているドライバを発見するバッチスクリプト
 
オプション 効果
 -input  
 分析するメモリイメージを指定。省略した場合はライブメモリが対象。
 
 -output  
 結果を出力するディレクトリを指定。デフォルトでは「./Audit」
 

HookDetection.bat
 
 RootkitAudit.Batch.xmlを実行し、カーネルメモリでのフックを特定するバッチスクリプト
 
オプション 効果
 -input  
 分析するメモリイメージを指定。省略した場合はライブメモリが対象。
 
 -idt  
 IDT(Interrupt Descriptor Table)を確認するか否かを[true]か[false]で指定。指定しない場合は[true]
 
 -ssdt  
 システムコールテーブルを確認するか否かを[true]か[false]で指定。指定しない場合は[true]
 SSDT(System Service Descriptor Table)
 
 -functions  
 システムコールテーブルファンクションを確認するか否かを[true]か[false]で指定。指定しない場合は[true]
 
 -drivers  
 すべてのドライバをIRP(I/O Request Packet)テーブルから確認するか否かを[true]か[false]で指定。指定しない場合は[true]
 
 -output  
 結果を出力するディレクトリを指定。デフォルトでは「./Audit」
 


Copyright 2017. All rights reserved.

Posted 2009年9月18日 by ntsuji in category "forensic", "memo