2 puan yazan xguru 4 시간 전 | Henüz yorum yok. | WhatsApp'ta paylaş
  • Linux bellek dökümünü normal dosya ve klasör yapısı olarak bağlayıp mevcut araçlarla doğrudan incelemeyi sağlayan bir adli analiz çerçevesi
  • AVML / LiME / raw / kdump imajlarını destekler ve Linux/Windows üzerinde bağlanabilir
  • Yakalama anındaki çekirdek durumu (süreçler, açık dosyalar, soketler, yüklenmiş modüller, sayfa önbelleği, tehdit avcılığı sonuçları, adli zaman çizelgesi) sıradan dosya/klasörler olarak görünür
  • Dökümün kendisi bir dosya sistemi olarak ele alındığı için mevcut araçlar doğrudan bellek adli analizi araçları gibi çalışır
    • grep çekirdek yapılarını arar, find -newer mtime ölçütüne göre sayfa önbelleğini filtreler, diff iki yakalamayı karşılaştırır
    • Explorer, less, HxD, ripgrep, Python os.walk doğrudan çalışır
    • SIEM dosya alım işlem hattı /sys, /forensic yollarını ek entegrasyon olmadan indeksler
    • Yeni bir sorgu dili öğrenmek gerekmez - dizin ağacını dolaşmak, çekirdeği dolaşmak demektir
  • Semboller olmadan da çalışır - doğru hata ayıklama profili (ISF) olmadığında çoğu aracın durduğu mevcut sınırlamayı aşar
    • ISF otomatik olarak bulunur veya --auto-fetch ile alınır; bu mümkün değilse çekirdeğe gömülü BTF tür bilgisi kullanılarak gerekenler oluşturulur
    • İnternetsiz yalıtılmış ağlarda (air-gapped) çalışmak zorunda olan analistler de /fs, kurtarılan dosya içerikleri ve süreç analizini inceleyebilir
  • Bağlama ağacı yapısı
    • proc\<pid>\ — süreç bazında maps, fds, threads, kstack, environ, strings, ELF core
    • sys\ — kabuk geçmişi, banner, dmesg, modüller, net, processes, findevil gibi sistem geneli veriler
    • fs\ — yeniden oluşturulmuş kök dosya sistemi (önbelleğe alınmış dosya içeriği kurtarma), forensic\ — timeline.{txt,csv} + JSON/CSV anlık görüntüler
    • search\ — yara, iocs, strings, entropy
    • mem\ — phys.raw + pencerelenmiş çekirdek-VA akışları
    • plugins\ — üçüncü taraf dosya üreticileri
  • Desteklenen girdiler AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (dd vb. düz fiziksel döküm), kdump/vmcore (VMCOREINFO içeren ELF64) olup hedef platform x86-64 Linux'tur
  • memnixfs.dll, kararlı bir C ABI (extern "C" lmpfs_*) ile motoru sunar; bu sayede C FFI destekleyen dillerde aynı kod çalıştırılabilir
  • Eldeki bellek imajlarını okuyup analiz eden savunma amaçlı adli analiz/olay müdahale aracıdır; yalnızca yetkili dökümler analiz edilmeli ve ele geçirilmiş ana makine dökümleri güvenilmeyen veri olarak değerlendirilmelidir
  • MemProcFS ve Volatility 3'ten esinlenen, birlikte çalışabilir bağımsız bir projedir; hiçbir tarafla bağlılık/onay ilişkisi yoktur
  • Apache-2.0 lisansı

Henüz yorum yok.

Henüz yorum yok.