LETHAL-FORENSICS/MemProcFS-Analyzer

```html

# MemProcFS-Analyzer MemProcFS-Analyzer.ps1 是一个用于简化 MemProcFS 使用并优化内存分析工作流程的 PowerShell 脚本。 MemProcFS - 由 [Ulf Frisk](https://x.com/ulffrisk) 提供的内存进程文件系统 https://github.com/ufrisk/MemProcFS 特性： * 快速且简便的内存分析！ * 可以将内存快照（原始物理内存转储或 Microsoft 崩溃转储）像磁盘镜像一样挂载，并处理 Windows 上的内存压缩功能 * 自动安装 MemProcFS、AmcacheParser、AppCompatCacheParser、Elasticsearch、entropy、EvtxECmd、ImportExcel、IPinfo CLI、jq、Kibana、lnk_parser、RECmd、SBECmd、xsv、YARA 和 Zircolite * 自动更新 MemProcFS、AmcacheParser、AppCompatCacheParser、Elasticsearch、entropy、EvtxECmd（含 Maps）、ImportExcel、IPinfo CLI、jq、Kibana、lnk_parser、RECmd、SBECmd、xsv、YARA 和 Zircolite * 当有 ClamAV 新版本或新的 Dokany 文件系统库包可用时更新信息 * 分页文件支持 * 操作系统指纹识别 * 使用自定义 YARA 规则扫描（包括 [Chronicle](https://github.com/chronicle/GCTI/tree/main/YARA) 和 [Elastic Security](https://github.com/elastic/protections-artifacts) 提供的 447 条规则） * 多线程扫描（配合 ClamAV 用于 Windows） * 收集 ClamAV 检测到的受感染文件以供进一步分析（密码：infected） * 收集 MemProcFS PE_INJECT 检测到的注入模块以供进一步分析（密码：infected） * 提取 IPv4/IPv6 * 使用 [IPinfo CLI](https://github.com/ipinfo/cli) 进行 IP2ASN 映射和 GeoIP → 免费获取令牌请访问 [https://ipinfo.io/signup](https://ipinfo.io/signup) * 检查可疑端口号 * [进程树](https://github.com/LETHAL-FORENSICS/MemProcFS-Analyzer/wiki/Process-Tree)（TreeView），包括完整的进程调用链（特别感谢 [Dominik Schmidt](https://github.com/DaFuqs)） * 检查进程是否存在异常的父子关系和实例数量 * 检查进程是否使用了异常的用户上下文 * 检查进程路径伪装和进程名称伪装（Damerau Levenshtein 距离） * 网络浏览器历史记录（Google Chrome、Microsoft Edge 和 Firefox） * 提取 Windows 事件日志文件并使用 EvtxECmd → Timeline Explorer ([EZTools](https://ericzimmerman.github.io/) 由 Eric Zimmerman 提供) 进行处理 * 事件日志概览 * 使用 [Zircolite](https://github.com/wagga40/Zircolite) 处理 Windows 事件日志（EVTX）——一个基于 SIGMA 的独立检测工具 * 使用 Amcacheparser ([EZTools](https://ericzimmerman.github.io/) 由 Eric Zimmerman 提供) 分析提取的 Amcache.hve * 使用 AppCompatcacheParser ([EZTools](https://ericzimmerman.github.io/) 由 Eric Zimmerman 提供) 分析应用兼容性缓存（ShimCache） * 使用 RECmd ([EZTools](https://ericzimmerman.github.io/) 由 Eric Zimmerman 提供) 分析 Syscache * 使用 RECmd ([EZTools](https://ericzimmerman.github.io/) 由 Eric Zimmerman 提供) 分析 UserAssist 项目 * 使用 RECmd ([EZTools](https://ericzimmerman.github.io/) 由 Eric Zimmerman 提供) 分析 ShellBags 项目 * 简单的预取文件查看（基于取证时间线） * 使用 RECmd ([EZTools](https://ericzimmerman.github.io/) 由 Eric Zimmerman 提供) 分析自动启动扩展点（ASEP） * 使用 RECmd ([EZTools](https://ericzimmerman.github.io/) 由 Eric Zimmerman 提供) 分析 RecentDocs 和受信任的 Office 文档 * 使用 DFIR RECmd 批处理文件 ([DFIR Batch File](https://github.com/EricZimmerman/RECmd/blob/master/BatchExamples/DFIRBatch.md) 由 Andrew Rathbun) 分析注册表 * 分析恢复进程模块的元数据（实验性） * 提取 Windows 快捷方式文件（LNK） * 探测恶意 Windows 快捷方式文件（LNK） * 集成 PowerShell 模块 [ImportExcel](https://github.com/dfinke/ImportExcel)（由 Doug Finke 提供） * 用于分析的 CSV 输出数据（例如 timeline-reverse.csv、findevil.csv、web.csv） * 收集证据文件（安全归档容器 → 密码：MemProcFS） * 以及其他更多功能 ## 下载 从 [发布页面](https://github.com/LETHAL-FORENSICS/MemProcFS-Analyzer/releases) 下载 **MemProcFS-Analyzer** 的最新版本。 ## 用法 以管理员身份启动 Windows PowerShell（或 Windows PowerShell ISE 或 Visual Studio Code（PSVersion：5.1）），然后打开/运行 MemProcFS-Analyzer.ps1。  **图 1：** 选择你的内存快照并选择你的 pagefile.sys（可选）  **图 2：** MemProcFS-Analyzer 自动安装依赖项（首次运行）  **图 3：** 接受使用条款（首次运行）  **图 4：** 如果你发现 MemProcFS 有用，请在以下地址成为赞助者：https://github.com/sponsors/ufrisk  **图 5：** 你可以通过浏览驱动器号来调查已挂载的内存转储  **图 6：** MemProcFS-Analyzer 检查更新（第二次运行） 注意：建议在安装后取消注释/禁用“更新器”函数。请查看脚本底部的“Main”。  **图 7：** FindEvil 功能及额外分析  **图 8：** 进程  **图 9：** 运行中和已退出的进程  **图 11：** 检查进程树（查找异常）  **图 12：** 进程树：带进程调用链的警告消息  **图 13：** 进程树：属性视图 → 双击进程或警告消息  **图 14：** 使用 IPinfo.io 的 GeoIP  **图 15：** 使用 IPinfo.io 映射 IP 地址  **图 16：** 处理 Windows 事件日志（EVTX）  **图 17：** Zircolite - 一个基于 SIGMA 的独立 EVTX 检测工具（迷你 GUI）  **图 18：** 处理提取的 Amcache.hve → XLSX  **图 19：** 处理 ShimCache → XLSX  **图 20：** 使用 Timeline Explorer (TLE) 分析 CSV 输出  **图 21：** ELK 导入  **图 22：** Happy ELK Hunting!  **图 23：** 多线程 ClamAV 扫描，帮助你发现恶意内容！;-)  **图 24：** 按 **确定** 关闭 MemProcFS 和 Elastisearch/Kibana  **图 25：** 安全归档容器（密码：MemProcFS） ## MemProcFS 与内存取证介绍 查看 [Super Easy Memory Forensics](https://www.slideshare.net/IIJ_PR/super-easy-memory-forensics) 由 [Hiroshi Suzuki](https://twitter.com/herosi_t) 和 [Hisao Nashiwa](https://twitter.com/unk0unk0) 提供。 ## 先决条件 1. 下载并安装最新的 Dokany 库包 → DokanSetup.exe https://github.com/dokan-dev/dokany/releases/latest 2. 下载并安装最新的 .NET 9 桌面运行时（[EZTools](https://ericzimmerman.github.io/) 的必需条件） https://dotnet.microsoft.com/en-us/download/dotnet/9.0 3. 下载并安装最新的 ClamAV Windows 包。 https://www.clamav.net/downloads#otherversions 4. 首次设置 ClamAV 以管理员身份启动 Windows PowerShell 控制台。 `cd "C:\Program Files\ClamAV"` `copy .\conf_examples\freshclam.conf.sample .\freshclam.conf` `copy .\conf_examples\clamd.conf.sample .\clamd.conf` `write.exe .\freshclam.conf` → 注释或删除包含“Example”的行。 `write.exe .\clamd.conf` → 注释或删除包含“Example”的行。 https://docs.clamav.net/manual/Usage/Configuration.html#windows 5. 优化 ClamAV 扫描速度性能（提升 30%） 使用文本编辑器打开 "C:\Program Files\ClamAV\clamd.conf" 并搜索："Don't scan files and directories matching regex" `ExcludePath "\\heaps\\"` `ExcludePath "\\handles\\"` `ExcludePath "\\memmap\\vad-v\\"` `ExcludePath "\\sys\\pool\\"` 6. 创建免费的 IPinfo 账户 [约 1-2 分钟] https://ipinfo.io/signup?ref=cli 使用文本编辑器打开 "MemProcFS-Analyzer.ps1"，搜索“Please insert your Access Token here”并/粘贴你的访问令牌。 7. 确保注释/取消注释（选择性启用或禁用）你想要使用的功能（Elasticsearch 和 ELKImport 默认禁用）。请查看脚本底部的“Main”。 8. 启动 MemProcFS-Analyzer 自动安装/更新程序 `.\Updater.ps1` 9. 安装 Python 3.x（并勾选“将 Python 3.x 添加到 PATH”）。 安装 Zircolite 的依赖项： `cd .\Tools\Zircolite` `python -m pip install --upgrade pip` `python -m pip install -r requirements.txt` 10. 完成！😊 注意事项： - 暂时关闭防病毒保护，或更好将 MemProcFS-Analyzer 目录排除在扫描之外（例如 Zircolite）。 - [Elasticsearch 提示](https://github.com/LETHAL-FORENSICS/MemProcFS-Analyzer/wiki/Elasticsearch) ## 依赖项 1768.py v.0.0.23 (2025-03-07) https://blog.didierstevens.com/?s=1768.py 7-Zip 26.00 Standalone Console (2026-02-12) https://www.7-zip.org/download.html AmcacheParser v1.5.2.0 (.NET 9) https://ericzimmerman.github.io/ AppCompatCacheParser v1.5.1.0 (.NET 9) https://ericzimmerman.github.io/ ClamAV - 下载 → Windows → clamav-1.5.2.win.x64.msi (2026-03-04) https://www.clamav.net/downloads Dokany Library Bundle v2.3.1.1000 (2025-09-28) https://github.com/dokan-dev/dokany/releases/latest → DokanSetup.exe Elasticsearch 9.3.3 (2026-04-08) https://www.elastic.co/downloads/elasticsearch entropy v1.1 (2023-07-28) https://github.com/merces/entropy EvtxECmd v1.5.2.0 (.NET 9) https://ericzimmerman.github.io/ ImportExcel v7.8.10 (2024-10-21) https://github.com/dfinke/ImportExcel IPinfo CLI 3.3.1 (2024-03-01) https://github.com/ipinfo/cli jq v1.8.1 (2025-07-01) https://github.com/stedolan/jq Kibana 9.3.3 (2026-04-08) https://www.elastic.co/downloads/kibana lnk_parser v0.4.3 (2026-02-17) https://github.com/AbdulRhmanAlfaifi/lnk_parser MemProcFS v5.17.6 - 内存进程文件系统 (2026-04-19) https://github.com/ufrisk/MemProcFS RECmd v2.1.0.0 (.NET 9) https://ericzimmerman.github.io/ SBECmd v2.1.0.0 (.NET 9) https://ericzimmerman.github.io/ xsv v0.13.0 (2018-05-12) https://github.com/BurntSushi/xsv YARA v4.5.5 (2025-10-30) https://virustotal.github.io/yara/ Zircolite v3.6.3 (2026-04-06) https://github.com/wagga40/Zircolite ## 链接 [MemProcFS](https://github.com/ufrisk/MemProcFS) [MemProcFS Demo with Elasticsearch](https://www.youtube.com/watch?v=JcIlowlrvyI) [Sponsor MemProcFS Project](https://github.com/sponsors/ufrisk) [MemProcFS-Plugins](https://github.com/ufrisk/MemProcFS-Plugins) ```

标签：AI合规, Amcache解析, AppCompatCache解析, ClamAV, Dokany文件系统, Elasticsearch, EvtxECmd, HTTP工具, ImportExcel, IPinfo CLI, jq, Libemu, lnk_parser, MemProcFS, PowerShell脚本, RECmd, SBECmd, SecList, StruQ, T1005, T1078, T1552, Web 安全测试, Windows内存转储, xsv, YARA, Zircolite, 云资产可视化, 内存分析优化, 内存压缩处理, 内存取证, 取证分析工作流, 数字签名验证, 熵分析, 磁盘镜像挂载, 自动化分析, 自动安装更新, 跨站脚本