MemNixFS - Công cụ chuyển đổi bản dump bộ nhớ Linux thành hệ thống tệp để điều tra
(github.com/MemNixFS)- Một framework pháp chứng cho phép mount bản dump bộ nhớ Linux dưới dạng cấu trúc tệp và thư mục thông thường, để điều tra nguyên trạng bằng các công cụ sẵn có
- Hỗ trợ ảnh AVML / LiME / raw / kdump và có thể mount trên Linux/Windows
- Trạng thái kernel tại thời điểm chụp (tiến trình, tệp đang mở, socket, module đã nạp, page cache, kết quả threat hunting, timeline pháp chứng) được phơi bày dưới dạng tệp/thư mục bình thường
- Vì xử lý chính bản dump như một hệ thống tệp, các công cụ hiện có sẽ hoạt động nguyên trạng như công cụ pháp chứng bộ nhớ
greptìm kiếm cấu trúc kernel,find -newerlọc page cache theo mtime,diffso sánh hai lần chụp- Explorer,
less, HxD, ripgrep, Pythonos.walkhoạt động nguyên trạng - Pipeline ingest tệp của SIEM lập chỉ mục
/sys,/forensicmà không cần tích hợp bổ sung - Không cần học ngôn ngữ truy vấn mới - duyệt cây thư mục cũng chính là duyệt kernel
- Hoạt động cả khi không có symbol - vượt qua hạn chế cũ khi hầu hết công cụ dừng lại nếu không có debug profile (ISF) chính xác
- Tự động tìm ISF hoặc lấy bằng
--auto-fetch; nếu không thể, tạo những gì cần thiết từ thông tin kiểu BTF được tích hợp trong kernel - Các nhà phân tích phải làm việc trong mạng cô lập không có Internet (air-gapped) vẫn có thể có
/fscó thể duyệt, nội dung tệp đã khôi phục và phân tích tiến trình
- Tự động tìm ISF hoặc lấy bằng
- Cấu trúc cây mount
proc\<pid>\— maps, fds, threads, kstack, environ, strings, ELF core theo từng tiến trìnhsys\— lịch sử shell, banner, dmesg, module, net, processes, findevil và các mục toàn hệ thốngfs\— hệ thống tệp root được tái dựng (khôi phục nội dung tệp đã cache),forensic\— timeline.{txt,csv} + snapshot JSON/CSVsearch\— yara, iocs, strings, entropymem\— phys.raw + các stream kernel-VA được window hóaplugins\— file producer của bên thứ ba
- Đầu vào được hỗ trợ gồm AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (flat physical dump như dd), kdump/vmcore (ELF64 có VMCOREINFO), với mục tiêu Linux x86-64
memnixfs.dllphơi bày engine qua C ABI ổn định (extern "C" lmpfs_*), nên các ngôn ngữ hỗ trợ C FFI có thể chạy cùng một mã- Đây là công cụ pháp chứng phòng thủ/ứng phó sự cố để đọc và phân tích các ảnh bộ nhớ đã có; chỉ nên phân tích các bản dump có thẩm quyền và cần xem dump từ host bị xâm nhập là dữ liệu không đáng tin cậy
- Là dự án độc lập lấy cảm hứng và có khả năng tương tác với MemProcFS và Volatility 3, không có quan hệ liên kết/bảo chứng với bên nào
- Giấy phép Apache-2.0
Chưa có bình luận nào.