2 điểm bởi xguru 5 giờ trước | Chưa có bình luận nào. | Chia sẻ qua WhatsApp
  • Một framework pháp chứng cho phép mount bản dump bộ nhớ Linux dưới dạng cấu trúc tệp và thư mục thông thường, để điều tra nguyên trạng bằng các công cụ sẵn có
  • Hỗ trợ ảnh AVML / LiME / raw / kdump và có thể mount trên Linux/Windows
  • Trạng thái kernel tại thời điểm chụp (tiến trình, tệp đang mở, socket, module đã nạp, page cache, kết quả threat hunting, timeline pháp chứng) được phơi bày dưới dạng tệp/thư mục bình thường
  • Vì xử lý chính bản dump như một hệ thống tệp, các công cụ hiện có sẽ hoạt động nguyên trạng như công cụ pháp chứng bộ nhớ
    • grep tìm kiếm cấu trúc kernel, find -newer lọc page cache theo mtime, diff so sánh hai lần chụp
    • Explorer, less, HxD, ripgrep, Python os.walk hoạt động nguyên trạng
    • Pipeline ingest tệp của SIEM lập chỉ mục /sys, /forensic mà không cần tích hợp bổ sung
    • Không cần học ngôn ngữ truy vấn mới - duyệt cây thư mục cũng chính là duyệt kernel
  • Hoạt động cả khi không có symbol - vượt qua hạn chế cũ khi hầu hết công cụ dừng lại nếu không có debug profile (ISF) chính xác
    • Tự động tìm ISF hoặc lấy bằng --auto-fetch; nếu không thể, tạo những gì cần thiết từ thông tin kiểu BTF được tích hợp trong kernel
    • Các nhà phân tích phải làm việc trong mạng cô lập không có Internet (air-gapped) vẫn có thể có /fs có thể duyệt, nội dung tệp đã khôi phục và phân tích tiến trình
  • Cấu trúc cây mount
    • proc\<pid>\ — maps, fds, threads, kstack, environ, strings, ELF core theo từng tiến trình
    • sys\ — lịch sử shell, banner, dmesg, module, net, processes, findevil và các mục toàn hệ thống
    • fs\ — hệ thống tệp root được tái dựng (khôi phục nội dung tệp đã cache), forensic\ — timeline.{txt,csv} + snapshot JSON/CSV
    • search\ — yara, iocs, strings, entropy
    • mem\ — phys.raw + các stream kernel-VA được window hóa
    • plugins\ — file producer của bên thứ ba
  • Đầu vào được hỗ trợ gồm AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (flat physical dump như dd), kdump/vmcore (ELF64 có VMCOREINFO), với mục tiêu Linux x86-64
  • memnixfs.dll phơi bày engine qua C ABI ổn định (extern "C" lmpfs_*), nên các ngôn ngữ hỗ trợ C FFI có thể chạy cùng một mã
  • Đây là công cụ pháp chứng phòng thủ/ứng phó sự cố để đọc và phân tích các ảnh bộ nhớ đã có; chỉ nên phân tích các bản dump có thẩm quyền và cần xem dump từ host bị xâm nhập là dữ liệu không đáng tin cậy
  • Là dự án độc lập lấy cảm hứng và có khả năng tương tác với MemProcFS và Volatility 3, không có quan hệ liên kết/bảo chứng với bên nào
  • Giấy phép Apache-2.0

Chưa có bình luận nào.

Chưa có bình luận nào.