MemNixFS - เครื่องมือแปลง Linux memory dump เป็นระบบไฟล์เพื่อใช้ตรวจสอบ
(github.com/MemNixFS)- เฟรมเวิร์กด้านนิติคอมพิวเตอร์ที่เมานต์ Linux memory dump เป็น โครงสร้างไฟล์และโฟลเดอร์ทั่วไป เพื่อให้สามารถตรวจสอบด้วย เครื่องมือเดิมที่มีอยู่ ได้ทันที
- รองรับอิมเมจ AVML / LiME / raw / kdump และสามารถ เมานต์ได้บน Linux/Windows
- สถานะของเคอร์เนล ณ เวลาที่จับข้อมูลไว้ (โปรเซส, ไฟล์ที่เปิดอยู่, ซ็อกเก็ต, โมดูลที่โหลด, page cache, ผลลัพธ์การ threat hunting, forensic timeline) จะถูกเปิดเผยออกมาเป็นไฟล์/โฟลเดอร์ธรรมดา
- เนื่องจากจัดการตัว dump เองในรูปแบบระบบไฟล์ เครื่องมือเดิมจึงทำงานเป็นเครื่องมือ memory forensics ได้ทันที
grepใช้ค้นหาโครงสร้างเคอร์เนล,find -newerใช้กรอง page cache ตาม mtime,diffใช้เปรียบเทียบการจับข้อมูลสองชุด- Explorer,
less, HxD, ripgrep, Pythonos.walkใช้งานได้ตามปกติ - ไปป์ไลน์ ingest ไฟล์ของ SIEM สามารถทำดัชนี
/sys,/forensicได้โดยไม่ต้องเชื่อมต่อเพิ่มเติม - ไม่ต้องเรียนรู้ภาษา query ใหม่ - การไล่ดู directory tree ก็คือการสำรวจเคอร์เนล
- ทำงานได้แม้ไม่มีสัญลักษณ์ - ช่วยหลีกเลี่ยงข้อจำกัดเดิมที่เครื่องมือส่วนใหญ่มักหยุดทำงานเมื่อไม่มี debug profile (ISF) ที่แม่นยำ
- ค้นหา ISF อัตโนมัติ หรือดึงมาด้วย
--auto-fetchและหากทำไม่ได้ก็จะสร้างสิ่งที่จำเป็นจาก ข้อมูลชนิด BTF ที่ฝังอยู่ในเคอร์เนล - นักวิเคราะห์ที่ต้องทำงานในเครือข่ายแยกขาดจากอินเทอร์เน็ต (air-gapped) ก็ยังสามารถสำรวจ
/fs, เนื้อหาไฟล์ที่กู้คืนได้ และการวิเคราะห์โปรเซสได้
- ค้นหา ISF อัตโนมัติ หรือดึงมาด้วย
- โครงสร้าง mount tree
proc\<pid>\— maps, fds, threads, kstack, environ, strings, ELF core แยกตามโปรเซสsys\— shell history, banner, dmesg, modules, net, processes, findevil และข้อมูลระดับระบบทั้งหมดfs\— root filesystem ที่สร้างใหม่ (กู้คืนเนื้อหาไฟล์ที่แคชไว้),forensic\— timeline.{txt,csv} + snapshot แบบ JSON/CSVsearch\— yara, iocs, strings, entropymem\— phys.raw + สตรีม kernel-VA แบบ windowedplugins\— file producer จากบุคคลที่สาม
- อินพุตที่รองรับคือ AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (physical dump แบบ flat จาก dd เป็นต้น), kdump/vmcore (ELF64 ที่มี VMCOREINFO) โดยรองรับ Linux บน x86-64
memnixfs.dllเปิดเผยเอนจินผ่าน C ABI ที่เสถียร (extern "C" lmpfs_*) ทำให้ภาษาที่รองรับ C FFI สามารถรันโค้ดเดียวกันได้- เป็น เครื่องมือเชิงรับสำหรับ digital forensics/incident response ที่ใช้วิเคราะห์ memory image ที่มีอยู่แล้ว ควรวิเคราะห์เฉพาะ dump ที่ได้รับสิทธิ์อย่างถูกต้อง และต้องถือว่า dump จากโฮสต์ที่ถูกเจาะเป็นข้อมูลที่ไม่น่าเชื่อถือ
- เป็นโปรเจกต์อิสระที่ได้รับแรงบันดาลใจและทำงานร่วมกันได้กับ MemProcFS และ Volatility 3 โดยไม่มีความเกี่ยวข้องหรือการรับรองจากฝ่ายใดฝ่ายหนึ่ง
- ไลเซนส์ Apache-2.0
ยังไม่มีความคิดเห็น