CounterTack Responder Pro v3.1.4.9

Responder PRO破解版将Windows实体內存和自动化软件分析集成到一个应用程序中，让操作者使用时能更方便，并简化工作流程快速产生结果。Windows物理内存采集和分析的事实行业标准，凭借其无与伦比的内存取证和行为分析功能，Responder PRO可以切断当今最隐秘的恶意软件所采用的各种反取证措施，并揭示对事件响应，数据合规和电子发现至关重要的工件。。包括FastDumpm PRO，一个全面的内存采集工具，支持完全捕获Windows和Linux物理和虚拟内存（RAM和分页文件）。 快速-Dump PRO执行快速，准确，取证的声音记忆成像。 一旦分析了捕获的内存，Responder PRO便于搜索，识别和报告关键数字工件，如密码，加密密钥，Internet搜索历史记录和其他取证数据。可以自动侦测工程分析和内存来显示恶意软件、rootkits和其他部易发现的威胁。利用Digital DNA™以及HBGary的內存分析技术，可以改善工程师的代码及内存，检查潜在的恶意软件，并让重要文件获得保障，合乎数据及电子发展规范。本次带来破解版下载，有需要的朋友不要错过了！

1、记忆体保存

Responder Professional内建FDPro，是业界最完整的一套记忆体鉴识软件，其功能在于保护Windows实体记忆体的资讯安全和电脑鉴辨目的.FDPro支援所有版本的Windows操作系统和服务包，以及32和64位元系统，当然也包括超过4GB的RAM。

2、记忆体分析

从记忆体，病毒，聊天对话，注册密钥，加密密钥，套接字信息等都可以获取大量的资讯.Responder专业提供简单好用的GUI让你可以迅速恢复这类的讯息.GUI是被设计用来支援调查工作流程不会有复杂的命令行界面.Responder让每个研究人员都能轻松的完成。

3、使用Digital DNA™检测恶意软体

数字DNA是一款革命性的先进技术，不依赖不值得信任的Windows作业系统，而是用实体记忆体检测电脑安全的威胁。当数字DNA序列显示一连串的特征代码时，扫描存在记忆体中的可执行代码并根据设定的严重程度排序，可以连结到每一个软体模块的行动。观察到的行为特征正好可以用来对抗HBGary的“恶意软件基因组”数据库，评等数位物件是好，坏或中等。使用一些规则和加权方式来计算整体严重程度，让使用者可以看到Trait的特质说明，以快速了解软体的执行状况。

4、自动的病毒程式分析

常见的电脑犯罪多是利用病毒程式获取机密讯息。最新的病毒程式不会接触到光碟，只会驻留在记忆体中。重要的讯息传递，rootkit的行为和未检测到的恶意程式，只要使用专业就可以轻易地发现他们。病毒程式分析模块会自动生成一个病毒软体分析报告，细分成6种因素，可提供较详尽的描述。

5、病毒程式逆向工程

被设计来增强自动化病毒程序分析的软体，有时并不会自动执行病毒程序分析，产生可理解的代码意义.HBGary包含些简单的使用功能，作为获得更多讯息的方式.Control Flow Graphing可以迅速了解复杂的代码执行路径，代码循环与呼叫的.pro版还包含许多在IDA以及Ollydbg的的功能，如标签和代码视图。

6、报告

简单又好用的报告模组，让你可以用快速简洁的方式传递信息给律师，管理人员或客户端可以汇出的格式有：CVS，PDF，RTF等。

一、创建新的Windows内存快照项目

Windows内存快照分析计算机的物理内存，并尝试重建所有操作系统对象，允许用户调查各个进程和模块以获取取证信息。Windows内存快照文件可以是以下任何受支持的文件类型：  

使用CounterTackFastDumpPro®实用程序（FDPro®）进行内存转储。  

RAM的DD图像（.dd）-有时称为GNUdd，这是仍然使用的最古老的成像工具。  

VMWareClosedVMware（www.vmware.com）软件为客户操作系统提供完全虚拟化的硬件集。快照文件（.vmem）-VMEM文件是VMWare虚拟机的页面文件。  

VMWareESX-这是VMWare开发的企业级1类虚拟机管理程序，用于部署和服务虚拟计算机。  

Nigilant32映像文件（.img）-Nigilant32是一种事件响应工具，旨在从运行的Windows2000，XP和2003操作系统系统中捕获信息。  

ForensicAcquisitionUtility图像文件-这是用于法医调查的实用程序和库的集合。  

崩溃转储（.dmp）-这些文件具有与minidump文件不同的格式，但共享相同的文件扩展名。崩溃转储被归类为意外错误，因为它可能随时发生。当几个处理器数据或RAM存储器被错误地复制到一个以获得更多文件时，就会发生这种类型的故障。  

Minidumps（.dmp）-minidump文件不包含与完整故障转储文件一样多的信息，但它包含足够的信息来执行基本的调试操作。  

Winhex（.whx）-这是一个十六进制编辑器，有助于计算机取证和IT安全。  

DDNA能够分析的文件格式  

来自FDPro®的.bin文件  

VMware版本，6.5,7,8,9和10中的.vmem文件  

Responder®能够分析构成“原始二进制”数据的第三方文件格式。但是，CounterTack不负责，也不支持这些工具生成的数据。  

DDNA分析限制  

图像尺寸很重要。（分析时间和内存问题的可能性随着图像的增大而增加。）  

如何创建Windows内存快照  

要创建Windows内存快照项目，请执行以下步骤：  

双击安装期间创建的Responder®桌面图标。  

单击文件>项目>新建以创建新项目。“新建项目”向导将启动并引导用户完成创建新项目的步骤。  

在“文件类型”字段中，将自动填充相应的文件类型。但是，如果Responder无法确定所选的确切文件类型，请单击下拉箭头并从可用的文件类型中进行选择。  

编辑项目名称，或为其输入唯一名称。接受默认位置以保存项目，或单击“浏览”按钮选择要保存的位置。点击下一步。  

选择导入文件，然后单击省略号按钮（）以搜索静态BinaryClosedExecutable代码的Windowsexe或DLL文件，该代码使计算机根据文件中的编码指令执行指示的任务。项目。  

物理内存映像选项屏幕允许您包含Recon™日志文件，并能够存储REconClosed的本地副本，用于Responder®Pro的动态分析系统，用于记录和绘制数据样本以及程序行为。项目的文件。单击“下一步”继续。  

重要说明：FAT32文件系统无法处理大于4GB的文件。从FAT32格式的USB闪存驱动器导入内存快照将导致分析错误。确保Flash驱动器格式化为NTFS。  

（可选）-输入所有相关案例数据，例如分析师的姓名，案例日期和时间。提供的信息用于保存记录。点击下一步。  

（可选）-输入有关从中获取内存快照的计算机的信息，其位置，日期和时间。提供的信息用于保存记录。点击下一步。  

（可选）-DDNAClosed使用Wordlists和Pattern文件.DigitalDNA（DDNA）序列显示为一系列特征代码，当连接在一起时，描述驻留在内存中的每个软件模块的行为。DDNA识别每个软件模块，并按严重程度或威胁级别对其进行排名。针对项目文件执行已知恶意软件的模式搜索。单击“添加”以添加包含模式搜索数据的文本文件。  

单击“完成”以创建项目。  

支持以下模式文件格式：字符串-搜索不区分大小写  

[hex]-包含六角形图案的括号

以下部分将指导您创建一个新的Minidump项目。  

如何创建一个新的Minidump项目  

重要提示：Responder®FE和Responder®CE中不提供此功能。  

双击安装期间创建的Responder®桌面图标。  

单击文件>项目>新建以创建新项目。“新建项目”向导将启动并引导用户完成创建新项目的步骤。  

选择“导入文件”，然后单击“省略号”按钮以查找.dmp文件。“文件类型”字段将自动填写。  

编辑或输入项目的唯一名称。接受默认位置以保存项目，或单击“浏览”按钮选择要保存的位置。点击下一步。  

可选-输入所有相关案例数据，例如分析师的姓名和案例日期和时间。提供的信息被存储用于记录保存。点击下一步。  

可选-输入有关从中取出小型泵的机器，其位置，日期和时间的信息。提供的信息被存储用于记录保存。单击“完成”以创建项目。  

（可选）-要执行模式搜索，请单击“添加”以添加包含模式搜索数据的文本文件。  

单击“完成”以创建项目。  

支持以下模式文件格式：字符串-搜索不区分大小写  

[hex]-包含六角形图案的括号