LeechAgent是一个100％完全免费的开源系统节点调查取证解决 *** ，适用对活动目录自然环境中的Windows节点开展远程物理内存的调查取证与分析。

LeechAgent出示了一种简易、性能卓越且安全性的 *** 来远程浏览和查询系统物理内存（RAM）。应用MemProcFS初始化远程运行内存时，如同根据点一下 *** 实际操作一般文档一样简易，因而，它特别适合用以迅速的挑选归类。除此之外，应用PCILeech得话，大家还能够根据互联网来转储运行内存。根据向远程服务器递交分析脚本，我们可以根据MemProcFS Python API来查看物理内存！而且，所述全部实际操作能够另外开展。

物理内存分析有很多优势，最关键的一点是，分析总体目标系统软件常用的API是单独的，换句话说，即便 总体目标系统软件上的系统软件API早已受到损坏，对大家的危害也并不大。

下边的视頻演试了在远程计算机上安裝LeechAgent服务项目，应用它来安裝MemProcFS，转储物理内存及其根据MemProcFS API将Python分析脚本递交到远程LeechAgent的详尽全过程。视频观看以后，您便会了解这一全过程究竟有多么的的轻轻松松了。

演试视频地址：

LeechAgent不但出示了必需的安全系数，而且用起來也比较简单。事实上，LeechAgent的安全系数是创建在Windows内建作用的基本上的，而且实际完成对客户而言是全透明的。它只容许管理人员客户开展联接，而且，不会有别的身份认证体制。而LeechAgent的简易性代表着，应用全过程中，大家不用建立客户，配备资格证书或设定身份认证体制。为了更好地保证安全系数，需要的一切都早已为大家提前准备稳妥了，不用一切配备！

LeechAgent的使用 ***

LeechAgent容许10个手机客户端另外联接，远程获得物理内存，以Python分析脚本的方式实行编码，并可浏览MemProcFS API。大家应用cmdPCILeech或根据系统文件的MemProcFS，从运作LeechAgent的远程计算机转储物理内存。随后，应用MemProcFS系统文件和/或API来迅速分析远程计算机的运行内存。

随后，根据MemProcFS将远程计算机的物理内存初始化为系统文件，那样，大家就可以应用自身喜爱的专用工具来迅速轻轻松松地浏览远程物理内存了。

从运作LeechAgent的远程计算机获得运行内存，即便 在具备中等水平 *** 带宽、中等水平延迟时间的数据连接上，它也可以非常好地工作中。假如需要的话，大家还可以立即在远程计算机上运作浏览MemProcFS API的Python运行内存分析脚本。在这类状况下，LeechAgent会在接到脚本后自动生成内嵌式Python自然环境，并实行脚本。Python分析脚本始终不容易“触碰”总体目标系统软件上的硬盘。

这类方式有很多优势。关键优势是，我们可以在远程系统软件上当地浏览物理内存——彻底清除 *** 带宽和延迟时间难题，这一特性使其变成物理内存分析的理想化挑选，即便 在低 *** 带宽和高延迟时间互联网上也是这般。除此之外，因为工作中负荷迁移到LeechAgent脚本，因而，能够在很多服务器上另外运作，比如在恶性事件回应情况中。

相关MemProcFS Python API的其他信息，客户程序MemProcFS wiki网页页面。

假定您有一个Python脚本，它根据分析物理内存来搜索客户方式应用软件中的读写能力实行一部分。这在分析一些种类的恶意程序的情况下很有可能十分有效的。一定要注意，在一些状况下，rwx一部分也很有可能存有于合理合法的应用软件中。

脚本查找全部过程的过程信息内容，随后解析xml全部过程，并将根据解析xmlCPU页表来查找其内存映射。

实例Python脚本应用VmmPy MemProcFS API来分析运行内存。

用PCILeech将Python运行内存分析脚本递交给远程LeechAgent并等候分析結果。LeechAgent将捕捉根据递交的分析脚本载入控制面板的全部輸出內容。

将分析脚本递交给远程LeechAgent并等候分析結果。

假如分析脚本失败，比如，假如碰到无限循环，那麼将在2分钟后全自动中断。在极个别状况下，能够断掉全部手机客户端与远程LeechAgent的联接并等候十多分钟，那样就能消除全部有什么问题的工作。

安裝LeechAgent

LeechAgent能够适用32位系统和64位Windows系统软件。事实上，尽管32位系统版本另外适用32位系统和64位系统，但在受到限制方式下，它没法在远程服务器上解决运行内存分析脚本。因而，大家强烈要求应用64位Leechagent！

安裝LeechAgent时，能够从Github上的LeechCore储存库免费下载相对的安装文件。在其中，LeechAgent的64位版本坐落于LeechCore/file/agent/x64中。必须留意的是，LeechAgent的分析脚本取决于Python，运行内存转储取决于WinPMEM。假如在互动（非服务项目）方式下运作，DumpIt还可以用以运行内存转储。

依靠项：

· Python：从python.org免费下载Windows x86-64可置入的zip文件，并将其內容压缩包解压到LeechAgent\\Python根目录中。

· WinPMem：从Github免费下载签字的64位驱动软件，并将其放进leechagent.exe所属的LeechAgent文件夹名称中。

总体目标系统要求：

· Windows 7或高些版本。

· 十位数规定——没法在32位系统上安裝64位版本的LeechAgent。

· 活动目录自然环境：当做为服务项目安裝时，才有该规定。（在试验室自然环境中，能够在没经身份认证的不安全中心下实行LeechAgent，该方式不依赖于活动目录开展身份认证）。

· 管理人员访问限制：运作LeechAgent安装文件的客户务必具备远程计算机的访问权限。假如在localhost上安裝，则客户务必是高級管理人员。

· 共享文件——安裝时：必须浏览C$管理 *** 共享文件。

· 服务器防火墙对外开放——安裝时：只需安裝就可以浏览服务项目操纵管理工具（SCM）和共享文件。

· 服务器防火墙对外开放——应用时：必须浏览LeechAgent或tcp/28473。