9月
18
Memoryze Batch Script オプションメモ
[win32dd]と[mdd]などで取得したメモリイメージを解析するツール[Memoryze]のバッチスクリプトのオプションメモです。
公式サイトはココ
| MemoryDD.bat | ||
| AcquireMemory.Batch.xmlを実行し、メモリイメージを取得・作成するバッチスクリプト |
||
| オプション | 効果 | |
| -offset | 取得する物理メモリのオフセットを指定。指定しない場合はすべて取得。 |
|
| -size | 取得する物理メモリのサイズを指定。指定しない場合はすべて取得。 |
|
| -output | ダンプを出力するディレクトリを指定。デフォルトでは「./Audit」 |
|
| ProcessDD.bat | ||
| AcquireProcessMemory.Batch.xmlを実行し、スタック、ヒープ、DLLs、EXEs、NLSsファイルを含むメモリイメージを取得・作成するバッチスクリプト |
||
| オプション | 効果 | |
| -input | 分析するメモリイメージを指定。省略した場合はライブメモリが対象。 |
|
| -pid | 取得するプロセスIDを指定。 |
|
| -process | 取得するプロセス名を指定。 |
|
| -output | ダンプを出力するディレクトリを指定。デフォルトでは「./Audit」 |
|
| DriverDD.bat | ||
| AcquireDriver.Batch.xmlを実行し、指定されたドライバ、もしくは、すべてのドライブ情報を含むメモリイメージを取得・作成するバッチスクリプト |
||
| オプション | 効果 | |
| -input | 分析するメモリイメージを指定。省略した場合はライブメモリが対象。 |
|
| -driver | 取得するドライバ名を指定。指定しない場合はすべてのドライバ。 |
|
| -output | ダンプを出力するディレクトリを指定。デフォルトでは「./Audit」 |
|
| Process.bat | ||
| AcquireDriver.Batch.xmlを実行し、オープンポート、ファイル、キー、文字列情報を含むメモリイメージもしくはすべての情報を収集するバッチスクリプト |
||
| オプション | 効果 | |
| -input | 分析するメモリイメージを指定。省略した場合はライブメモリが対象。 |
|
| -pid | 調査するPIDを指定。指定しない場合はすべてのPIDと同等の4294967295が使用される。 |
|
| -process | 調査するプロセス名を指定。デフォルトでは無効。 |
|
| -handles | すべてのメモリ中におけるハンドルについて調査するか否かを[true]か[false]で指定。指定しない場合は[false] |
|
| -sections | すべてのプロセス中におけるメモリレンジを調査するか否かを[true]か[false]で指定。指定しない場合は[false] |
|
| -ports | すべてのプロセス中におけるポートを調査するか否かを[true]か[false]で指定。指定しない場合は[false] |
|
| -strings | すべてのプロセス中における文字列を調査するか否かを[true]か[false]で指定。指定しない場合は[false] |
|
| -output | 結果を出力するディレクトリを指定。デフォルトでは「./Audit」 |
|
| DriverWalkList.bat | ||
| DriverAuditModuleList.Batch.xmlを実行し、PsLoadedModuleListを起点にドライバを列挙するバッチスクリプト |
||
| オプション | 効果 | |
| -input | 分析するメモリイメージを指定。省略した場合はライブメモリが対象。 |
|
| -output | 結果を出力するディレクトリを指定。デフォルトでは「./Audit」 |
|
| DriverWalkList.bat | ||
| DriverAuditSignature.Batch.xmlを実行し、すべてのロードされているドライバを発見するバッチスクリプト |
||
| オプション | 効果 | |
| -input | 分析するメモリイメージを指定。省略した場合はライブメモリが対象。 |
|
| -output | 結果を出力するディレクトリを指定。デフォルトでは「./Audit」 |
|
| HookDetection.bat | ||
| RootkitAudit.Batch.xmlを実行し、カーネルメモリでのフックを特定するバッチスクリプト |
||
| オプション | 効果 | |
| -input | 分析するメモリイメージを指定。省略した場合はライブメモリが対象。 |
|
| -idt | IDT(Interrupt Descriptor Table)を確認するか否かを[true]か[false]で指定。指定しない場合は[true] |
|
| -ssdt | システムコールテーブルを確認するか否かを[true]か[false]で指定。指定しない場合は[true] SSDT(System Service Descriptor Table) |
|
| -functions | システムコールテーブルファンクションを確認するか否かを[true]か[false]で指定。指定しない場合は[true] |
|
| -drivers | すべてのドライバをIRP(I/O Request Packet)テーブルから確認するか否かを[true]か[false]で指定。指定しない場合は[true] |
|
| -output | 結果を出力するディレクトリを指定。デフォルトでは「./Audit」 |
|