LETHAL-FORENSICS/MemProcFS-Analyzer
GitHub: LETHAL-FORENSICS/MemProcFS-Analyzer
一款基于PowerShell的自动化内存取证分析脚本,简化MemProcFS工作流并加速Windows内存转储的深度分析。
Stars: 703 | Forks: 73
```html
# MemProcFS-Analyzer
MemProcFS-Analyzer.ps1 是一个用于简化 MemProcFS 使用并优化内存分析工作流程的 PowerShell 脚本。
MemProcFS - 由 [Ulf Frisk](https://x.com/ulffrisk) 提供的内存进程文件系统
https://github.com/ufrisk/MemProcFS
特性:
* 快速且简便的内存分析!
* 可以将内存快照(原始物理内存转储或 Microsoft 崩溃转储)像磁盘镜像一样挂载,并处理 Windows 上的内存压缩功能
* 自动安装 MemProcFS、AmcacheParser、AppCompatCacheParser、Elasticsearch、entropy、EvtxECmd、ImportExcel、IPinfo CLI、jq、Kibana、lnk_parser、RECmd、SBECmd、xsv、YARA 和 Zircolite
* 自动更新 MemProcFS、AmcacheParser、AppCompatCacheParser、Elasticsearch、entropy、EvtxECmd(含 Maps)、ImportExcel、IPinfo CLI、jq、Kibana、lnk_parser、RECmd、SBECmd、xsv、YARA 和 Zircolite
* 当有 ClamAV 新版本或新的 Dokany 文件系统库包可用时更新信息
* 分页文件支持
* 操作系统指纹识别
* 使用自定义 YARA 规则扫描(包括 [Chronicle](https://github.com/chronicle/GCTI/tree/main/YARA) 和 [Elastic Security](https://github.com/elastic/protections-artifacts) 提供的 447 条规则)
* 多线程扫描(配合 ClamAV 用于 Windows)
* 收集 ClamAV 检测到的受感染文件以供进一步分析(密码:infected)
* 收集 MemProcFS PE_INJECT 检测到的注入模块以供进一步分析(密码:infected)
* 提取 IPv4/IPv6
* 使用 [IPinfo CLI](https://github.com/ipinfo/cli) 进行 IP2ASN 映射和 GeoIP → 免费获取令牌请访问 [https://ipinfo.io/signup](https://ipinfo.io/signup)
* 检查可疑端口号
* [进程树](https://github.com/LETHAL-FORENSICS/MemProcFS-Analyzer/wiki/Process-Tree)(TreeView),包括完整的进程调用链(特别感谢 [Dominik Schmidt](https://github.com/DaFuqs))
* 检查进程是否存在异常的父子关系和实例数量
* 检查进程是否使用了异常的用户上下文
* 检查进程路径伪装和进程名称伪装(Damerau Levenshtein 距离)
* 网络浏览器历史记录(Google Chrome、Microsoft Edge 和 Firefox)
* 提取 Windows 事件日志文件并使用 EvtxECmd → Timeline Explorer ([EZTools](https://ericzimmerman.github.io/) 由 Eric Zimmerman 提供) 进行处理
* 事件日志概览
* 使用 [Zircolite](https://github.com/wagga40/Zircolite) 处理 Windows 事件日志(EVTX)——一个基于 SIGMA 的独立检测工具
* 使用 Amcacheparser ([EZTools](https://ericzimmerman.github.io/) 由 Eric Zimmerman 提供) 分析提取的 Amcache.hve
* 使用 AppCompatcacheParser ([EZTools](https://ericzimmerman.github.io/) 由 Eric Zimmerman 提供) 分析应用兼容性缓存(ShimCache)
* 使用 RECmd ([EZTools](https://ericzimmerman.github.io/) 由 Eric Zimmerman 提供) 分析 Syscache
* 使用 RECmd ([EZTools](https://ericzimmerman.github.io/) 由 Eric Zimmerman 提供) 分析 UserAssist 项目
* 使用 RECmd ([EZTools](https://ericzimmerman.github.io/) 由 Eric Zimmerman 提供) 分析 ShellBags 项目
* 简单的预取文件查看(基于取证时间线)
* 使用 RECmd ([EZTools](https://ericzimmerman.github.io/) 由 Eric Zimmerman 提供) 分析自动启动扩展点(ASEP)
* 使用 RECmd ([EZTools](https://ericzimmerman.github.io/) 由 Eric Zimmerman 提供) 分析 RecentDocs 和受信任的 Office 文档
* 使用 DFIR RECmd 批处理文件 ([DFIR Batch File](https://github.com/EricZimmerman/RECmd/blob/master/BatchExamples/DFIRBatch.md) 由 Andrew Rathbun) 分析注册表
* 分析恢复进程模块的元数据(实验性)
* 提取 Windows 快捷方式文件(LNK)
* 探测恶意 Windows 快捷方式文件(LNK)
* 集成 PowerShell 模块 [ImportExcel](https://github.com/dfinke/ImportExcel)(由 Doug Finke 提供)
* 用于分析的 CSV 输出数据(例如 timeline-reverse.csv、findevil.csv、web.csv)
* 收集证据文件(安全归档容器 → 密码:MemProcFS)
* 以及其他更多功能
## 下载
从 [发布页面](https://github.com/LETHAL-FORENSICS/MemProcFS-Analyzer/releases) 下载 **MemProcFS-Analyzer** 的最新版本。
## 用法
以管理员身份启动 Windows PowerShell(或 Windows PowerShell ISE 或 Visual Studio Code(PSVersion:5.1)),然后打开/运行 MemProcFS-Analyzer.ps1。

**图 1:** 选择你的内存快照并选择你的 pagefile.sys(可选)

**图 2:** MemProcFS-Analyzer 自动安装依赖项(首次运行)

**图 3:** 接受使用条款(首次运行)

**图 4:** 如果你发现 MemProcFS 有用,请在以下地址成为赞助者:https://github.com/sponsors/ufrisk

**图 5:** 你可以通过浏览驱动器号来调查已挂载的内存转储

**图 6:** MemProcFS-Analyzer 检查更新(第二次运行)
注意:建议在安装后取消注释/禁用“更新器”函数。请查看脚本底部的“Main”。

**图 7:** FindEvil 功能及额外分析

**图 8:** 进程

**图 9:** 运行中和已退出的进程


**图 11:** 检查进程树(查找异常)

**图 12:** 进程树:带进程调用链的警告消息

**图 13:** 进程树:属性视图 → 双击进程或警告消息

**图 14:** 使用 IPinfo.io 的 GeoIP

**图 15:** 使用 IPinfo.io 映射 IP 地址

**图 16:** 处理 Windows 事件日志(EVTX)

**图 17:** Zircolite - 一个基于 SIGMA 的独立 EVTX 检测工具(迷你 GUI)

**图 18:** 处理提取的 Amcache.hve → XLSX

**图 19:** 处理 ShimCache → XLSX

**图 20:** 使用 Timeline Explorer (TLE) 分析 CSV 输出

**图 21:** ELK 导入

**图 22:** Happy ELK Hunting!

**图 23:** 多线程 ClamAV 扫描,帮助你发现恶意内容!;-)

**图 24:** 按 **确定** 关闭 MemProcFS 和 Elastisearch/Kibana

**图 25:** 安全归档容器(密码:MemProcFS)
## MemProcFS 与内存取证介绍
查看 [Super Easy Memory Forensics](https://www.slideshare.net/IIJ_PR/super-easy-memory-forensics) 由 [Hiroshi Suzuki](https://twitter.com/herosi_t) 和 [Hisao Nashiwa](https://twitter.com/unk0unk0) 提供。
## 先决条件
1. 下载并安装最新的 Dokany 库包 → DokanSetup.exe
https://github.com/dokan-dev/dokany/releases/latest
2. 下载并安装最新的 .NET 9 桌面运行时([EZTools](https://ericzimmerman.github.io/) 的必需条件)
https://dotnet.microsoft.com/en-us/download/dotnet/9.0
3. 下载并安装最新的 ClamAV Windows 包。
https://www.clamav.net/downloads#otherversions
4. 首次设置 ClamAV
以管理员身份启动 Windows PowerShell 控制台。
`cd "C:\Program Files\ClamAV"`
`copy .\conf_examples\freshclam.conf.sample .\freshclam.conf`
`copy .\conf_examples\clamd.conf.sample .\clamd.conf`
`write.exe .\freshclam.conf` → 注释或删除包含“Example”的行。
`write.exe .\clamd.conf` → 注释或删除包含“Example”的行。
https://docs.clamav.net/manual/Usage/Configuration.html#windows
5. 优化 ClamAV 扫描速度性能(提升 30%)
使用文本编辑器打开 "C:\Program Files\ClamAV\clamd.conf" 并搜索:"Don't scan files and directories matching regex"
`ExcludePath "\\heaps\\"`
`ExcludePath "\\handles\\"`
`ExcludePath "\\memmap\\vad-v\\"`
`ExcludePath "\\sys\\pool\\"`
6. 创建免费的 IPinfo 账户 [约 1-2 分钟]
https://ipinfo.io/signup?ref=cli
使用文本编辑器打开 "MemProcFS-Analyzer.ps1",搜索“Please insert your Access Token here”并/粘贴你的访问令牌。
7. 确保注释/取消注释(选择性启用或禁用)你想要使用的功能(Elasticsearch 和 ELKImport 默认禁用)。请查看脚本底部的“Main”。
8. 启动 MemProcFS-Analyzer 自动安装/更新程序
`.\Updater.ps1`
9. 安装 Python 3.x(并勾选“将 Python 3.x 添加到 PATH”)。
安装 Zircolite 的依赖项:
`cd .\Tools\Zircolite`
`python -m pip install --upgrade pip`
`python -m pip install -r requirements.txt`
10. 完成!😊
注意事项:
- 暂时关闭防病毒保护,或更好将 MemProcFS-Analyzer 目录排除在扫描之外(例如 Zircolite)。
- [Elasticsearch 提示](https://github.com/LETHAL-FORENSICS/MemProcFS-Analyzer/wiki/Elasticsearch)
## 依赖项
1768.py v.0.0.23 (2025-03-07)
https://blog.didierstevens.com/?s=1768.py
7-Zip 26.00 Standalone Console (2026-02-12)
https://www.7-zip.org/download.html
AmcacheParser v1.5.2.0 (.NET 9)
https://ericzimmerman.github.io/
AppCompatCacheParser v1.5.1.0 (.NET 9)
https://ericzimmerman.github.io/
ClamAV - 下载 → Windows → clamav-1.5.2.win.x64.msi (2026-03-04)
https://www.clamav.net/downloads
Dokany Library Bundle v2.3.1.1000 (2025-09-28)
https://github.com/dokan-dev/dokany/releases/latest → DokanSetup.exe
Elasticsearch 9.3.3 (2026-04-08)
https://www.elastic.co/downloads/elasticsearch
entropy v1.1 (2023-07-28)
https://github.com/merces/entropy
EvtxECmd v1.5.2.0 (.NET 9)
https://ericzimmerman.github.io/
ImportExcel v7.8.10 (2024-10-21)
https://github.com/dfinke/ImportExcel
IPinfo CLI 3.3.1 (2024-03-01)
https://github.com/ipinfo/cli
jq v1.8.1 (2025-07-01)
https://github.com/stedolan/jq
Kibana 9.3.3 (2026-04-08)
https://www.elastic.co/downloads/kibana
lnk_parser v0.4.3 (2026-02-17)
https://github.com/AbdulRhmanAlfaifi/lnk_parser
MemProcFS v5.17.6 - 内存进程文件系统 (2026-04-19)
https://github.com/ufrisk/MemProcFS
RECmd v2.1.0.0 (.NET 9)
https://ericzimmerman.github.io/
SBECmd v2.1.0.0 (.NET 9)
https://ericzimmerman.github.io/
xsv v0.13.0 (2018-05-12)
https://github.com/BurntSushi/xsv
YARA v4.5.5 (2025-10-30)
https://virustotal.github.io/yara/
Zircolite v3.6.3 (2026-04-06)
https://github.com/wagga40/Zircolite
## 链接
[MemProcFS](https://github.com/ufrisk/MemProcFS)
[MemProcFS Demo with Elasticsearch](https://www.youtube.com/watch?v=JcIlowlrvyI)
[Sponsor MemProcFS Project](https://github.com/sponsors/ufrisk)
[MemProcFS-Plugins](https://github.com/ufrisk/MemProcFS-Plugins)
```
标签:AI合规, Amcache解析, AppCompatCache解析, ClamAV, Dokany文件系统, Elasticsearch, EvtxECmd, HTTP工具, ImportExcel, IPinfo CLI, jq, Libemu, lnk_parser, MemProcFS, PowerShell脚本, RECmd, SBECmd, SecList, StruQ, T1005, T1078, T1552, Web 安全测试, Windows内存转储, xsv, YARA, Zircolite, 云资产可视化, 内存分析优化, 内存压缩处理, 内存取证, 取证分析工作流, 数字签名验证, 熵分析, 磁盘镜像挂载, 自动化分析, 自动安装更新, 跨站脚本