MemNixFS - Alat untuk mengubah dump memori Linux menjadi filesystem untuk investigasi
(github.com/MemNixFS)- Framework forensik yang me-mount dump memori Linux sebagai struktur file dan folder biasa, sehingga bisa diselidiki langsung dengan alat yang sudah ada
- Mendukung image AVML / LiME / raw / kdump, dan bisa di-mount di Linux/Windows
- Status kernel pada saat capture (proses, file terbuka, socket, modul yang dimuat, page cache, hasil threat hunting, timeline forensik) diekspos sebagai file/folder biasa
- Karena dump itu sendiri diperlakukan sebagai filesystem, alat yang sudah ada langsung berfungsi sebagai alat forensik memori
grepmencari struktur kernel,find -newermemfilter page cache berdasarkan mtime,diffmembandingkan dua capture- Explorer,
less, HxD, ripgrep, Pythonos.walkbekerja apa adanya - Pipeline ingest file SIEM mengindeks
/sysdan/forensictanpa integrasi tambahan - Tidak perlu mempelajari bahasa kueri baru — menjelajahi tree direktori berarti menjelajahi kernel
- Tetap berjalan tanpa simbol — mengakali keterbatasan lama ketika kebanyakan alat berhenti jika tidak ada profil debug (ISF) yang tepat
- Menemukan ISF secara otomatis atau mengambilnya dengan
--auto-fetch; jika tidak memungkinkan, membuat data yang diperlukan dari informasi tipe BTF yang tertanam di kernel - Analis yang harus bekerja di jaringan terisolasi tanpa internet (air-gapped) tetap bisa memperoleh
/fsyang dapat dijelajahi, isi file yang dipulihkan, dan analisis proses
- Menemukan ISF secara otomatis atau mengambilnya dengan
- Struktur tree mount
proc\<pid>\— maps, fds, threads, kstack, environ, strings, ELF core per prosessys\— shell history, banner, dmesg, modul, net, processes, findevil, dan cakupan sistem lainnyafs\— root filesystem yang direkonstruksi (pemulihan isi file yang ada di cache),forensic\— timeline.{txt,csv} + snapshot JSON/CSVsearch\— yara, iocs, strings, entropymem\— phys.raw + stream kernel-VA berjendelaplugins\— produser file pihak ketiga
- Input yang didukung adalah AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (flat physical dump seperti dd), kdump/vmcore (ELF64 dengan VMCOREINFO), untuk target Linux x86-64
memnixfs.dllmengekspos engine lewat C ABI (extern "C" lmpfs_*) yang stabil, sehingga kode yang sama bisa dijalankan dalam bahasa apa pun yang mendukung C FFI- Ini adalah alat forensik defensif/respons insiden untuk membaca dan menganalisis image memori yang sudah dimiliki; hanya dump yang berwenang yang boleh dianalisis, dan dump dari host yang telah disusupi harus diperlakukan sebagai data yang tidak tepercaya
- Proyek independen yang terinspirasi oleh dan interoperabel dengan MemProcFS dan Volatility 3, tanpa afiliasi/dukungan resmi dari keduanya
- Lisensi Apache-2.0
Belum ada komentar.