WindowsSCOPE - WindowsSCOPE
WindowsSCOPE криминалистика памяти и разобрать механизм с целью понять, как это работает продукт для Windows используется для получения и анализа энергозависимой памяти.[1] Одно из его применений - обнаружение и обратная инженерия руткиты и другие вредоносное ПО.[2] WindowsSCOPE поддерживает сбор и анализ компьютеров под управлением Windows Windows XP через Windows 10.
Приобретение
WindowsSCOPE поддерживает как программные, так и аппаратные методы сбора данных как для заблокированных, так и для разблокированных компьютеров. Дополнительное оборудование WindowsSCOPE для получения памяти использует PCI Express шина для прямого доступа к системной памяти. Снимки памяти, полученные с помощью WindowsSCOPE, хранятся в репозитории. Снимки памяти в репозитории можно сравнить, чтобы отслеживать изменения в системе с течением времени.[2]
Анализ
WindowsSCOPE показывает процессы, DLL, и водители запущенный компьютер во время моментального снимка памяти, а также открыть сетевые розетки, файловые ручки, и ключ реестра ручки. Он также предоставляет разборка и графическое представление потока управления для исполняемого кода. WindowsSCOPE Live - это версия инструмента, которая позволяет выполнять анализ с мобильного устройства.[3]
Рекомендации
- ^ Кланке, Рус. «Ссылки на цифровую криминалистику». Агрессивная защита от вирусов. Получено 10 апреля 2012.
- ^ а б Ле Масле, Адриан. «Обнаружение руткита HackerDefender с помощью WindowsSCOPE». Имперский колледж Лондон. Получено 10 апреля 2012.
- ^ Буря, Дарлин. «Шифрование: будьте дружелюбны к криминалистам, чтобы защитить свой Android и конфиденциальность». Безопасность - это сексуально. Computerworld. Получено 10 апреля 2012.