O Memhunter é uma ferramenta de sensor de ponto de extremidade especializada na detecção de malware residente, melhorando o processo de análise do caçador de ameaças e os tempos de correção. A ferramenta detecta e relata malware residente na memória que vive em processos de terminal. O Memhunter detecta técnicas conhecidas de injeção de memória maliciosa . O processo de detecção é realizado através de análise ao vivo e sem a necessidade de despejos de memória. A ferramenta foi projetada como uma substituição de plug-ins de volatilidade forense de memória , como o atalho e o oco. A idéia de não exigir despejos de memória ajuda a executar a busca de ameaças de malware residente na memória em grande escala, sem análise manual e sem a infraestrutura complexa necessária para mover despejos para ambientes forenses.


O processo de detecção é realizado através de uma combinação de coleta de dados dos terminais e scanners de inspeção de memória. A ferramenta é um binário independente que, após a execução, se implanta como um serviço do Windows. Depois de executado como um serviço, o memhunter inicia a coleção de eventos ETW que podem indicar ataques de injeção de código. O fluxo ao vivo de eventos de dados coletados é alimentado por scanners de inspeção de memória que usam heurísticas de detecção para selecionar os possíveis ataques. Todo o processo de detecção não requer intervenção humana, nem despejos de memória e pode ser realizado pela própria ferramenta em escala.


Além das heurísticas de coleta e caça de dados, o projeto também levou à criação de uma ferramenta complementar chamada “minjetor” que contém +15 técnicas de injeção de código. A ferramenta minjector não pode ser usada apenas para exercitar detecções de caçadores de memórias, mas também como um local de parada para aprender sobre as conhecidas técnicas de injeção de código existentes.

Baixar Memhunter