MZ RAM Booster – бесплатная программа для оптимизации оперативной памяти. Программа следит за использованием памяти и времени процессора, и при достижении определённого порога (установленного по умолчанию или самим пользователем) автоматически освобождает память. Настройки лучше оставить на усмотрение программы, но пользователь может и сам установить нужные цифры, для этого нужно зайти в «Опции».
Твики реестра для ускорения системы
В главном окне, отображается информация об общем объёме памяти, занятом и свободном. Там же, отображается сколько памяти было освобождено и за сколько циклов.
Память можно освобождать в ручном режиме, кнопками «Умная оптимизация» и «Восстановление ОЗУ».
«CPU Boost» часто вызывает зависания, использовать не рекомендуется, в любом случае на ваш страх и риск.
Настройки для автоматической работы очистки
Программа при запуска, помещается в системный трей, и показывает сколько доступно свободной памяти. Когда память заканчивается, автоматически её очищает.
Проверь, твоя Windows использует всю память? Если нет, исправляй!
Основные возможности
- Освобождает оперативную память;
- Показывает информацию о свободной и занятой памяти;
- Работает в автоматическом и/или ручном режиме;
- Показывает свободную память в системном трее;
- Твики реестра для ускорения системы;
- Поддержка тем оформления, и есть возможность настроить цвет индикатора в трее.
При помощи программы можно незначительно увеличить производительность компьютера без покупки дополнительной памяти, при этом стабильность системы не уменьшается (если не использовать «CPU Boost»).
Чтобы русифицировать программу, скачайте этот файл и поместите его в папку «Languages » C:Program FilesMz Ultimate ToolsMz RAM BoosterLanguages. Затем перейдите «Settings – Language» и выберите русский язык.
Источник: blogosoft.ru
RAMMap версии 1.61
RAMMap(671 КБ)
Запустите сейчас из Sysinternals Live.
Вы когда-нибудь задавались вопросом, как Windows назначает физическую память, сколько данных файлов кэшируется в ОЗУ или сколько ОЗУ используется драйверами ядра и устройств? RAMMap упрощает ответы на эти вопросы. RAMMap — это расширенная программа анализа использования физической памяти для Windows Vista и более поздних версий. Она предоставляет сведения об использовании различными способами на нескольких разных вкладках:
- Использование счетчиков: сводка по типу и списку разбиения по страницам
- Процессы: обработка размеров рабочих наборов
- Сводка по приоритету: приоритетные размеры резервных списков
- Физические страницы: использование для каждой страницы для всей физической памяти
- Физические диапазоны: адреса физической памяти
- Сводка по файлам: данные файлов в ОЗУ по файлам
- Сведения о файле: отдельные физические страницы по файлам
Используйте RAMMap, чтобы получить представление о том, как Windows управляет памятью, анализировать использование памяти приложения или отвечать на конкретные вопросы о выделении ОЗУ. Функция обновления RAMMap позволяет обновить дисплей и включить поддержку сохранения и загрузки моментальных снимков памяти.
Доступна не вся оперативная память(ОЗУ) на Windows. Что делать?
Определения меток, используемых RAMMap, а также сведения об алгоритмах распределения физической памяти, используемых диспетчером памяти Windows, см. в разделе «Внутренние компоненты Windows», 5^th^ Edition.
Связанные ссылки
- Книга внутренних компонентов Windows Официальные обновления и страница эрраты для окончательной книги о внутренних windows, Марк Руссинович и Дэвид Соломон.
- Справочник администратора Windows Sysinternals Официальное руководство по служебным программам Sysinternals Марк Руссинович и Аарон Маргоз, включая описания всех инструментов, их функции, способы их использования для устранения неполадок, а также примеры реальных вариантов их использования.
RAMMap(671 КБ)
Запустите сейчас из Sysinternals Live.
Выполняется в:
- Клиент: Windows Vista и более поздние версии.
- Сервер: Windows Server 2008 и более поздних версий.
Подробнее
- Средства дефрагментации: #6 — RAMMap
В этом эпизоде Defrag Tools, Эндрю Ричардс и Ларри Ларсен обложки с помощью RAMMap, чтобы увидеть, как используется ОЗУ и сказать, было ли какое-либо давление на память.
Источник: learn.microsoft.com
Анализатор памяти офлайн: используем Memoryze для исследования системы и поиска малвари
Большинство утилит для поиска малвари анализируют систему в режиме live, то
есть во время ее работы. Но мало кто знает о существовании программ, которые,
помимо прочего, способны выполнять так называемые офлайн-исследования, позволяя
отыскать зло в памяти компьютера, когда к тому нет доступа или он вообще
выключен. Некоторое время назад я открыл для себя новый способ поиска малвари,
которым с тех пор эффективно пользуюсь. По правде говоря, основным назначением
применяемого инструмента является вовсе не поиск руткитов, а комплексный анализ
памяти. Но так получилось, что включенные в него техники идеально подходят для
того, чтобы отыскать хорошо затаившуюся в системе малварь. С утилитой Mandiant’s
Memoryze я познакомился, когда активно изучал программные решения для
компьютерной криминалистики.
Помимо основной категории продуктов, предназначенных для глубокого изучения
дисковых накопителей, широко используются также решения для анализа оперативной
памяти. Такие исследования выделяют в особый вид экспертиз — Memory Forensic.
Некоторые из приложений (и в том числе Memoryze) умеют не только выполнять
исследование «живой» системы, но и анализировать образ памяти, в который
заблаговременно было помещено все содержимое оперативной памяти компьютера. Это
дает большой простор для деятельности. Имея такой образ, ничто не мешает позже
разобраться, какие приложения запущены в системе (на момент создания дампа,
разумеется) или, например, с какими хостами взаимодействуют интересующие нас
процессы. Ну и само собой, это еще и отличный способ для поиска малвари. Можно
сделать дамп на проблемной машине и далее на своем собственном компьютере без
каких-либо неудобств разбираться, какая ерунда загружена в памяти. Тут надо
понимать, что в образ помещается все содержимое памяти, которое считывает и
анализирует специальный парсер. И какими бы продвинутыми методиками для сокрытия
активных процессов и драйверов не пользовалась малварь, их присутствие
обязательно будет отражено в дампе.
Что такое Memoryze?
Программу Memoryze в кругах компьютерных криминалистов знают не понаслышке.
Это мощнейшее средство анализа памяти для многих стало частью джентльменского
набора, настоящей программой must have, которая не просто лежит про запас для
подходящего случая, а действительно часто используется. Ее создателями являются
Джэми Батлер и Питер Силбермэн, два маньяка-хардкорщика в области анализа памяти
и малвари. Ты можешь прямо сейчас сказать им спасибо, потому что они не только
разработали замечательный инструмент, но еще и делятся им совершенно бесплатно.
Дистрибутив доступен для загрузки из раздела с фриварными программами
компании
Mandiant.
Что мы можем получить, используя Memoryze:
- полный образ всего диапазона системной памяти (без использования
API-вызовов), сохраненный в файл для дальнейшего анализа; - дамп адресного пространства любого процесса, включая список загруженных
DLL и EXE, кучу и стэк (этот дамп можно дальше исследовать в дизассемблере); - образ всех загруженных драйверов или некоторых из них;
- полный список всех процессов, включая те, что спрятаны руткитами, причем
для каждого процесса есть возможность определить все хэндлы (например,
используемых файлов или ключей реестра), сетевые сокеты, импортируемые и
экспортируемые функции и так далее; - все строковые переменные, используемые процессами;
- полный список всех драйверов, в том числе те, которые маскируются
малварью; - перечень всех модулей ядра;
- перечисление всех установленных хуков (они часто используются малварью);
- и многое другое.
Вообще, когда говорят о Memoryze, чаще всего имеют в виду не одну, а две
утилиты: консольную Memoryze и GUI-приложение Audit Viewer. Они тесно связаны
между собой. Memoryze создает дамп и парсит различные структуры, чтобы извлечь
интересующие данные. Но работать в консоли не сильно удобно, поэтому в связке
используется другая утилита — Audit Viewer, которая позволяет работать с
извлеченными данными через удобный интерфейс. Таким образом можно узнать все о
том, что в момент создания образа было запущено в системе.
В некоторых ситуациях очень удобно иметь программу при себе, поэтому ее лучше
всего разместить на флешку достаточного объема, чтобы туда поместился еще и
сграбленный дамп памяти. К счастью, утилита из коробки является portable, и
установить ее можно прямо из командной строки:
msiexec /a MemoryzeSetup.msi /qb TARGETDIR=путь_до_флешки_и_папки_на_ней
Не лишним будет записать на флешку и файлы Audit Viewer’а, чтобы сразу иметь
возможность проанализировать полученный дамп или вообще выполнить «живое»
исследование системы.
Создаем образ памяти
Теперь, когда все приготовления завершены, попробуем программу в деле. Как я
уже говорил, Memoryze работает из командной строки. Но для большего удобства с
программой поставляют несколько batch-скриптов для выполнения наиболее типичных
задач.
После выполнения команды есть два варианта: программа успешно создаст дамп с
памятью или у нее ничего не выйдет. Последнее очень вероятно. Дело в том, что
для работы Memoryze использует kernel-mode драйвер, предоставляющий программе
прямой доступ к памяти. Нет драйвера – нет дампа. Есть несколько причин, по
которым драйвер не сможет загрузиться, но в первую очередь — из-за отсутствия
прав администратора. Поэтому убедись, что запускаешь ее из рутовой командной
строки. Другая распространенная причина — антивирус, который может
препятствовать прямому обращению к памяти. Возможно, что на время его придется
отключить. Если все пройдет успешно, полученный дамп будет сохранен в папке с
выходными результатами (по умолчанию в папке с Memoryze/Audits). Структура
каталога устроена таким образом, чтобы повторные выполнения процедуры не
перезаписывали ранее полученные образы. Так что всегда легко определить, на
каком компьютере и когда был создан образ.
Анализируем дамп
- Windows 2000 Service Pack 4 (32-bit);
- Windows XP Service Pack 2 and Service Pack 3 (32-bit);
- Windows Vista Service Pack 1 and Service Pack 2 (32-bit);
- Windows 2003 Service Pack 2 (32-bit);
- Windows 2003 Service Pack 2 (64-bit);
- Windows 7 Service Pack 0 (32-bit);
- Windows 7 Service Pack 0 (64-bit);
- Windows 2008 Service Pack 1 and Service Pack 2 (32-bit);
- Windows 2008 R2 Service Pack 0 (64-bit).
Курсивом в этом списке обозначены те системы, поддержка которых находится в
бета-тестировании.
Для анализа дампа достаточно запустить auditviewer.exe и выбрать пункт «Configure
Memoryze». Не обращай внимания на опцию «Open Existing Results» — она
предназначена для повторного открытия уже существующего файла с анализом дампа.
Для выполнения исследования программа попросит тебя указать путь до исполняемого
файла Memoryze и выбрать папку для сохранения результатов. Далее есть два
варианта: выполнить анализ имеющегося дампа памяти (возможно, с совершенно
другого компьютера) или проанализировать память с текущего компьютера. Выбираем
первый режим и указываем путь до img-файла с нашим образом.
Несколько следующих шагов мастера необходимы для того, чтобы указать, что
именно нас интересует и насколько полную информацию мы хотим получить. Скажем,
если тебя интересуют только драйверы, которые работают в системе, можно не
парсить информацию о хуках и процессах. Подход «поставить все галки» здесь не
пройдет. Важно понять простую вещь: чем детальнее анализ будет выполнять Audit
Viewer, тем дольше она будет это делать. В некоторых случаях процесс может
затянуться на целый день. Но таких пыток легко можно избежать, минимизируя
количество проверок, которые будет выполнять программа. Например, включенная
опция для извлечения строковых переменных («Extract strings») непременно
приведет к многочасовому анализу. Поэтому этот вид исследования рекомендуется
оставить на повторный проход (если такой понадобится), выполнив в первый раз
только те проверки, которые тебе действительно нужны. Хорошие результаты при
высокой скорости сканирования могут дать следующие настройки сканирования: режим
исследования процессов («Process Enumiration») без определения хуков и
драйверов, но с большинством включенных опций за исключением уже упомянутой «Extract
Strings». Отдельно идут опции для извлечения (Acquisition) из памяти или образа
памяти адресного пространства драйверов или процессов. В основном это нужно,
если ты имеешь конкретные намерения исследовать что-то из извлеченных дампов в
дизассемблере.
А вот и список найденных в системе драйверов
Как это может помочь при Reverse Engineering?
- ProcessDD.bat -pid — получение образа процесса из
запущенной системы; - ProcessDD.bat -pid -input — извлечение
образа из имеющегося дампа с памятью системы.
- DriverDD.bat -driver ;
- DriverDD.bat -driver -input .
Как только все настройки анализа будут заданы, Audit Viewer начнет работу,
отобразив на экране прогресс-бар. В окне программы прямо во время парсинга дампа
памяти будут отображаться результаты анализа, включая информацию о процессах,
драйверах, хуках (в зависимости от выбранных настроек). Тут придется подождать,
но зато отчет тебя непременно впечатлит. Чего стоит только список
идентифицированных процессов со списком всех связанных DLL, хэндлов, секций
памяти и так далее. Еще раз обращаю твое внимание: это будет список абсолютно
всех процессов, включая те, которые, возможно, спрятаны в системе руткитами. Та
же история и с драйверами.
И не могу не рассказать об одном интересном трюке. Если дважды кликнуть по
названию процесса, в правой части программы появятся несколько новых вкладок. В
некоторых из них есть колонка «Occurrences» с цифровыми значениями (например,
для списка прилинкованных к процессу dll-библиотек). Эта фича основана на
параметре Least Frequency of Occurrences (LFO), описанном Питером Сильбермэном.
Идея очень простая, но очень эффективная: тела малвари обычно относительно
уникальны. Поэтому если компонент используется в нескольких процессах, то ему,
вероятно, можно доверять. А если же нет, есть повод насторожиться. Такой простой
принцип зачастую помогает быстро определить вредоносные библиотеки.
Список процессов с различными параметрами
Выполнение «живого» анализа памяти
Теперь рассмотрим случай, когда мы можем проанализировать память на имеющемся
в распоряжении компьютере. В этом случае необязательно создавать дамп — у Audit
Viewer есть live-режим, который имеет ряд преимуществ. Самая главная фишка в
том, что помимо непосредственно оперативной памяти ты можешь подключить для
анализа еще и swap-файл, а также выполнять проверку цифровых подписей. Это
информация используется для подсчета индекса MRI (Memoryze’s Malware Rating),
позволяющего поразительно быстро определить широкий круг малвари. Если программе
какой-то компонент покажется подозрительным, ты сразу об этом узнаешь. Имей в
виду, что при соответствующей включенной опции утилита будет вычислять хэш для
каждого исполняемого файла и библиотеки, ассоциированных с запущенными
процессами. Это может занять значительное время. Поэтому как минимум не надо
выбирать подсчет всех хэшей сразу (поддерживаются MD5, SHA1, SHA256). Можно
ограничиться одним из них, который ты действительно будешь использовать:
например, MD5. Выполнение «живого» анализа мало чем отличается от парсинга дампа
памяти. В том месте, где мы раньше указывали путь до img-файла, достаточно
выбрать режим «Acquire (and/or) Analyze Live Memory». И все. Тут стоит сказать,
что выполнение «живого» анализа никак не мешает нам сделать дамп памяти. Никогда
заведомо не знаешь, что позже ты можешь в нем обнаружить и увидеть. Для этого в
момент выбора режимов извлечения (там же, откуда ранее могли извлечь дамп
конкретного процесса или драйвера) надо не забыть выбрать опцию «Memory
Acquisition».
Почему Memoryze?
Связка Memoryze и Audit Viewer не единственная для проведения Memory Forensic.
Широко распространен также открытый проект
Volatility Framework.
При наличии MiniGW и интерпретатора Python его даже можно запустить под Windows,
но для этого придется повозиться. Намного проще совладать с ним под Linux
(особенно если иметь под рукой
мануал). В
специальном дистрибутиве для компьютерных криминалистов SANS Investigative
Forensic Toolkit фреймворк включен и сразу готов к работе. Сборка этой системы
выложена в виде образа для запуска под VMware и доступна для бесплатной
загрузки.
И все-таки чувствуешь, что все как-то сложнее? По этой причине я и выбрал для
себя Memoryze. При всем богатстве функционала он не похож на серьезный продукт
для компьютерных криминалистов. Работать с ним можно сразу: для этого не надо
вникать в горы мануалов, чтобы получить результат. Записал файлы на флешку,
создал образ памяти в файл и проанализировал его с помощью Audit Viewer — все
просто, как дважды два. Не надо быть специалистом, чтобы распознать в полученных
результатах элементы зловреда. Используемые в программе метрики (Occurrences и
MRI) вкупе с проверкой цифровых подписей часто явно дают понять, какие из
найденных компонентов вызывают подозрения.
Вообще, сама тема Memory Forensic вызывает большой интерес, причем не только
как отдельный вид криминалистических расследований, но и как эффективный способ
для анализа системы (часто незаметного). Это, к тому же, еще и работающий метод
для излечения и реверсинга с целевого компьютера отдельных процессов и
драйверов.
Анализ
Вообще говоря, анализировать дамп памяти можно и без использования Audit
Viewer’а. Для получения наиболее востребованных данных c Memoryze идут
специальные batch-сценарии. Так, чтобы получить список всех процессов из
системы, достаточно запустить Process.bat . Вывод при желании
можно детализировать, запустив тот же сценарий с нужными ключами. Например,
«Process.bat –ports true» помимо непосредственно списка процессов указывает
еще и на открытые ими порты. Но, как ни крути, GUI-оболочка для изучения
образа памяти в использовании куда приятнее.
Источник: xakep.ru