• เฟรมเวิร์กด้านนิติคอมพิวเตอร์ที่เมานต์ Linux memory dump เป็น โครงสร้างไฟล์และโฟลเดอร์ทั่วไป เพื่อให้สามารถตรวจสอบด้วย เครื่องมือเดิมที่มีอยู่ ได้ทันที
  • รองรับอิมเมจ AVML / LiME / raw / kdump และสามารถ เมานต์ได้บน Linux/Windows
  • สถานะของเคอร์เนล ณ เวลาที่จับข้อมูลไว้ (โปรเซส, ไฟล์ที่เปิดอยู่, ซ็อกเก็ต, โมดูลที่โหลด, page cache, ผลลัพธ์การ threat hunting, forensic timeline) จะถูกเปิดเผยออกมาเป็นไฟล์/โฟลเดอร์ธรรมดา
  • เนื่องจากจัดการตัว dump เองในรูปแบบระบบไฟล์ เครื่องมือเดิมจึงทำงานเป็นเครื่องมือ memory forensics ได้ทันที
    • grep ใช้ค้นหาโครงสร้างเคอร์เนล, find -newer ใช้กรอง page cache ตาม mtime, diff ใช้เปรียบเทียบการจับข้อมูลสองชุด
    • Explorer, less, HxD, ripgrep, Python os.walk ใช้งานได้ตามปกติ
    • ไปป์ไลน์ ingest ไฟล์ของ SIEM สามารถทำดัชนี /sys, /forensic ได้โดยไม่ต้องเชื่อมต่อเพิ่มเติม
    • ไม่ต้องเรียนรู้ภาษา query ใหม่ - การไล่ดู directory tree ก็คือการสำรวจเคอร์เนล
  • ทำงานได้แม้ไม่มีสัญลักษณ์ - ช่วยหลีกเลี่ยงข้อจำกัดเดิมที่เครื่องมือส่วนใหญ่มักหยุดทำงานเมื่อไม่มี debug profile (ISF) ที่แม่นยำ
    • ค้นหา ISF อัตโนมัติ หรือดึงมาด้วย --auto-fetch และหากทำไม่ได้ก็จะสร้างสิ่งที่จำเป็นจาก ข้อมูลชนิด BTF ที่ฝังอยู่ในเคอร์เนล
    • นักวิเคราะห์ที่ต้องทำงานในเครือข่ายแยกขาดจากอินเทอร์เน็ต (air-gapped) ก็ยังสามารถสำรวจ /fs, เนื้อหาไฟล์ที่กู้คืนได้ และการวิเคราะห์โปรเซสได้
  • โครงสร้าง mount tree
    • proc\<pid>\ — maps, fds, threads, kstack, environ, strings, ELF core แยกตามโปรเซส
    • sys\ — shell history, banner, dmesg, modules, net, processes, findevil และข้อมูลระดับระบบทั้งหมด
    • fs\ — root filesystem ที่สร้างใหม่ (กู้คืนเนื้อหาไฟล์ที่แคชไว้), forensic\ — timeline.{txt,csv} + snapshot แบบ JSON/CSV
    • search\ — yara, iocs, strings, entropy
    • mem\ — phys.raw + สตรีม kernel-VA แบบ windowed
    • plugins\ — file producer จากบุคคลที่สาม
  • อินพุตที่รองรับคือ AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (physical dump แบบ flat จาก dd เป็นต้น), kdump/vmcore (ELF64 ที่มี VMCOREINFO) โดยรองรับ Linux บน x86-64
  • memnixfs.dll เปิดเผยเอนจินผ่าน C ABI ที่เสถียร (extern "C" lmpfs_*) ทำให้ภาษาที่รองรับ C FFI สามารถรันโค้ดเดียวกันได้
  • เป็น เครื่องมือเชิงรับสำหรับ digital forensics/incident response ที่ใช้วิเคราะห์ memory image ที่มีอยู่แล้ว ควรวิเคราะห์เฉพาะ dump ที่ได้รับสิทธิ์อย่างถูกต้อง และต้องถือว่า dump จากโฮสต์ที่ถูกเจาะเป็นข้อมูลที่ไม่น่าเชื่อถือ
  • เป็นโปรเจกต์อิสระที่ได้รับแรงบันดาลใจและทำงานร่วมกันได้กับ MemProcFS และ Volatility 3 โดยไม่มีความเกี่ยวข้องหรือการรับรองจากฝ่ายใดฝ่ายหนึ่ง
  • ไลเซนส์ Apache-2.0

ยังไม่มีความคิดเห็น

ยังไม่มีความคิดเห็น