MemNixFS – ein Tool, um Linux-Speicherabbilder als Dateisystem zu untersuchen
(github.com/MemNixFS)- Forensik-Framework, das Linux-Speicherabbilder als normale Datei- und Ordnerstruktur mountet, sodass sie direkt mit bestehenden Tools untersucht werden können
- Unterstützt AVML-, LiME-, raw- und kdump-Images und kann unter Linux/Windows gemountet werden
- Der Kernelzustand zum Zeitpunkt der Erfassung (Prozesse, geöffnete Dateien, Sockets, geladene Module, Page Cache, Ergebnisse des Threat Hunting, forensische Timeline) wird als gewöhnliche Dateien/Ordner offengelegt
- Da der Dump selbst wie ein Dateisystem behandelt wird, funktionieren bestehende Tools direkt als Memory-Forensik-Tools
grepdurchsucht Kernelstrukturen,find -newerfiltert den Page Cache nach mtime,diffvergleicht zwei Erfassungen- Explorer,
less, HxD, ripgrep und Pythonos.walkfunktionieren unverändert - SIEM-Datei-Ingest-Pipelines indizieren
/sysund/forensicohne zusätzliche Integration - Keine neue Query Language zu lernen – das Navigieren im Verzeichnisbaum ist zugleich das Navigieren im Kernel
- Funktioniert auch ohne Symbole – umgeht die bisherige Einschränkung, dass die meisten Tools ohne exaktes Debug-Profil (ISF) stoppen
- Sucht ISF automatisch oder lädt es mit
--auto-fetch; falls das nicht möglich ist, erzeugt es das Nötige aus den im Kernel eingebetteten BTF-Typinformationen - Auch Analysten, die in isolierten Netzen ohne Internetzugang (air-gapped) arbeiten müssen, erhalten durchsuchbare
/fs-Inhalte, wiederhergestellte Dateiinhalte und Prozessanalysen
- Sucht ISF automatisch oder lädt es mit
- Aufbau des Mount-Baums
proc\<pid>\— maps, fds, threads, kstack, environ, strings und ELF core je Prozesssys\— Shell-Historie, Banner, dmesg, Module, net, processes, findevil und weitere systemweite Datenfs\— rekonstruiertes Root-Dateisystem (Wiederherstellung gecachter Dateiinhalte),forensic\— timeline.{txt,csv} + JSON/CSV-Snapshotssearch\— yara, IOCs, strings, entropymem\— phys.raw + gefensterte Kernel-VA-Streamsplugins\— Dateiproduzenten von Drittanbietern
- Unterstützte Eingaben sind AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (flacher physischer Dump, z. B. per dd) und kdump/vmcore (ELF64 mit VMCOREINFO); Zielsysteme sind x86-64 Linux
memnixfs.dllstellt die Engine über eine stabile C ABI (extern "C" lmpfs_*) bereit, sodass derselbe Code in jeder Sprache mit C-FFI-Unterstützung laufen kann- Ein defensives Forensik-/Incident-Response-Tool, das bereits vorhandene Speicher-Images liest und analysiert; es sollten nur autorisierte Dumps analysiert werden, und Dumps kompromittierter Hosts sind als nicht vertrauenswürdige Daten zu behandeln
- Unabhängiges Projekt, inspiriert von und interoperabel mit MemProcFS und Volatility 3; keine Partnerschaft oder Empfehlung durch eine der beiden Seiten
- Apache-2.0-Lizenz
Noch keine Kommentare.