Am Wochenende hat Harlan Carvey zwei neue Programme zur Analyse von Windows 2000 Speicherabbildern veröffentlicht.
Lsproc ist eine aufgeräumte Neufassung von PTfinder. Dieses Programm findet EPROCESS und ETHREAD Strukturen in einem kompletten Speicherabbild. Derzeit ist es in seiner Anwendung jedoch auf Abbilder von Systemen unter Windows 2000 begrenzt.
Das zweite Programm, lspd genannt, erwartet denn Offset eines EPROCESS Blocks als Eingabe und liefert hierzu aus dem Abbild zahlreiche weitere Informationen über den jeweiligen Prozess.
Beide Programme sind in Perl geschrieben. Neben dem Quellcode gibt es auch jeweils eine mit Perl2Exe compilierte Version, so dass Sie Perl nicht extra auf dem Auswertungsplatz installieren müssen.
Beide Programme sind auf der bei Sourceforge neu eingerichteten Website des WindowsIR Projekts verfügbar.
