2 Punkte von xguru 4 시간 전 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Forensik-Framework, das Linux-Speicherabbilder als normale Datei- und Ordnerstruktur mountet, sodass sie direkt mit bestehenden Tools untersucht werden können
  • Unterstützt AVML-, LiME-, raw- und kdump-Images und kann unter Linux/Windows gemountet werden
  • Der Kernelzustand zum Zeitpunkt der Erfassung (Prozesse, geöffnete Dateien, Sockets, geladene Module, Page Cache, Ergebnisse des Threat Hunting, forensische Timeline) wird als gewöhnliche Dateien/Ordner offengelegt
  • Da der Dump selbst wie ein Dateisystem behandelt wird, funktionieren bestehende Tools direkt als Memory-Forensik-Tools
    • grep durchsucht Kernelstrukturen, find -newer filtert den Page Cache nach mtime, diff vergleicht zwei Erfassungen
    • Explorer, less, HxD, ripgrep und Python os.walk funktionieren unverändert
    • SIEM-Datei-Ingest-Pipelines indizieren /sys und /forensic ohne zusätzliche Integration
    • Keine neue Query Language zu lernen – das Navigieren im Verzeichnisbaum ist zugleich das Navigieren im Kernel
  • Funktioniert auch ohne Symbole – umgeht die bisherige Einschränkung, dass die meisten Tools ohne exaktes Debug-Profil (ISF) stoppen
    • Sucht ISF automatisch oder lädt es mit --auto-fetch; falls das nicht möglich ist, erzeugt es das Nötige aus den im Kernel eingebetteten BTF-Typinformationen
    • Auch Analysten, die in isolierten Netzen ohne Internetzugang (air-gapped) arbeiten müssen, erhalten durchsuchbare /fs-Inhalte, wiederhergestellte Dateiinhalte und Prozessanalysen
  • Aufbau des Mount-Baums
    • proc\<pid>\ — maps, fds, threads, kstack, environ, strings und ELF core je Prozess
    • sys\ — Shell-Historie, Banner, dmesg, Module, net, processes, findevil und weitere systemweite Daten
    • fs\ — rekonstruiertes Root-Dateisystem (Wiederherstellung gecachter Dateiinhalte), forensic\ — timeline.{txt,csv} + JSON/CSV-Snapshots
    • search\ — yara, IOCs, strings, entropy
    • mem\ — phys.raw + gefensterte Kernel-VA-Streams
    • plugins\ — Dateiproduzenten von Drittanbietern
  • Unterstützte Eingaben sind AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (flacher physischer Dump, z. B. per dd) und kdump/vmcore (ELF64 mit VMCOREINFO); Zielsysteme sind x86-64 Linux
  • memnixfs.dll stellt die Engine über eine stabile C ABI (extern "C" lmpfs_*) bereit, sodass derselbe Code in jeder Sprache mit C-FFI-Unterstützung laufen kann
  • Ein defensives Forensik-/Incident-Response-Tool, das bereits vorhandene Speicher-Images liest und analysiert; es sollten nur autorisierte Dumps analysiert werden, und Dumps kompromittierter Hosts sind als nicht vertrauenswürdige Daten zu behandeln
  • Unabhängiges Projekt, inspiriert von und interoperabel mit MemProcFS und Volatility 3; keine Partnerschaft oder Empfehlung durch eine der beiden Seiten
  • Apache-2.0-Lizenz

Noch keine Kommentare.

Noch keine Kommentare.