2 poin oleh xguru 5 jam lalu | Belum ada komentar. | Bagikan ke WhatsApp
  • Framework forensik yang me-mount dump memori Linux sebagai struktur file dan folder biasa, sehingga bisa diselidiki langsung dengan alat yang sudah ada
  • Mendukung image AVML / LiME / raw / kdump, dan bisa di-mount di Linux/Windows
  • Status kernel pada saat capture (proses, file terbuka, socket, modul yang dimuat, page cache, hasil threat hunting, timeline forensik) diekspos sebagai file/folder biasa
  • Karena dump itu sendiri diperlakukan sebagai filesystem, alat yang sudah ada langsung berfungsi sebagai alat forensik memori
    • grep mencari struktur kernel, find -newer memfilter page cache berdasarkan mtime, diff membandingkan dua capture
    • Explorer, less, HxD, ripgrep, Python os.walk bekerja apa adanya
    • Pipeline ingest file SIEM mengindeks /sys dan /forensic tanpa integrasi tambahan
    • Tidak perlu mempelajari bahasa kueri baru — menjelajahi tree direktori berarti menjelajahi kernel
  • Tetap berjalan tanpa simbol — mengakali keterbatasan lama ketika kebanyakan alat berhenti jika tidak ada profil debug (ISF) yang tepat
    • Menemukan ISF secara otomatis atau mengambilnya dengan --auto-fetch; jika tidak memungkinkan, membuat data yang diperlukan dari informasi tipe BTF yang tertanam di kernel
    • Analis yang harus bekerja di jaringan terisolasi tanpa internet (air-gapped) tetap bisa memperoleh /fs yang dapat dijelajahi, isi file yang dipulihkan, dan analisis proses
  • Struktur tree mount
    • proc\<pid>\ — maps, fds, threads, kstack, environ, strings, ELF core per proses
    • sys\ — shell history, banner, dmesg, modul, net, processes, findevil, dan cakupan sistem lainnya
    • fs\ — root filesystem yang direkonstruksi (pemulihan isi file yang ada di cache), forensic\ — timeline.{txt,csv} + snapshot JSON/CSV
    • search\ — yara, iocs, strings, entropy
    • mem\ — phys.raw + stream kernel-VA berjendela
    • plugins\ — produser file pihak ketiga
  • Input yang didukung adalah AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (flat physical dump seperti dd), kdump/vmcore (ELF64 dengan VMCOREINFO), untuk target Linux x86-64
  • memnixfs.dll mengekspos engine lewat C ABI (extern "C" lmpfs_*) yang stabil, sehingga kode yang sama bisa dijalankan dalam bahasa apa pun yang mendukung C FFI
  • Ini adalah alat forensik defensif/respons insiden untuk membaca dan menganalisis image memori yang sudah dimiliki; hanya dump yang berwenang yang boleh dianalisis, dan dump dari host yang telah disusupi harus diperlakukan sebagai data yang tidak tepercaya
  • Proyek independen yang terinspirasi oleh dan interoperabel dengan MemProcFS dan Volatility 3, tanpa afiliasi/dukungan resmi dari keduanya
  • Lisensi Apache-2.0

Belum ada komentar.

Belum ada komentar.