MemNixFS - Linux bellek dökümünü inceleme için bir dosya sistemine dönüştüren araç
(github.com/MemNixFS)- Linux bellek dökümünü normal dosya ve klasör yapısı olarak bağlayıp mevcut araçlarla doğrudan incelemeyi sağlayan bir adli analiz çerçevesi
- AVML / LiME / raw / kdump imajlarını destekler ve Linux/Windows üzerinde bağlanabilir
- Yakalama anındaki çekirdek durumu (süreçler, açık dosyalar, soketler, yüklenmiş modüller, sayfa önbelleği, tehdit avcılığı sonuçları, adli zaman çizelgesi) sıradan dosya/klasörler olarak görünür
- Dökümün kendisi bir dosya sistemi olarak ele alındığı için mevcut araçlar doğrudan bellek adli analizi araçları gibi çalışır
grepçekirdek yapılarını arar,find -newermtime ölçütüne göre sayfa önbelleğini filtreler,diffiki yakalamayı karşılaştırır- Explorer,
less, HxD, ripgrep, Pythonos.walkdoğrudan çalışır - SIEM dosya alım işlem hattı
/sys,/forensicyollarını ek entegrasyon olmadan indeksler - Yeni bir sorgu dili öğrenmek gerekmez - dizin ağacını dolaşmak, çekirdeği dolaşmak demektir
- Semboller olmadan da çalışır - doğru hata ayıklama profili (ISF) olmadığında çoğu aracın durduğu mevcut sınırlamayı aşar
- ISF otomatik olarak bulunur veya
--auto-fetchile alınır; bu mümkün değilse çekirdeğe gömülü BTF tür bilgisi kullanılarak gerekenler oluşturulur - İnternetsiz yalıtılmış ağlarda (air-gapped) çalışmak zorunda olan analistler de
/fs, kurtarılan dosya içerikleri ve süreç analizini inceleyebilir
- ISF otomatik olarak bulunur veya
- Bağlama ağacı yapısı
proc\<pid>\— süreç bazında maps, fds, threads, kstack, environ, strings, ELF coresys\— kabuk geçmişi, banner, dmesg, modüller, net, processes, findevil gibi sistem geneli verilerfs\— yeniden oluşturulmuş kök dosya sistemi (önbelleğe alınmış dosya içeriği kurtarma),forensic\— timeline.{txt,csv} + JSON/CSV anlık görüntülersearch\— yara, iocs, strings, entropymem\— phys.raw + pencerelenmiş çekirdek-VA akışlarıplugins\— üçüncü taraf dosya üreticileri
- Desteklenen girdiler AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (dd vb. düz fiziksel döküm), kdump/vmcore (VMCOREINFO içeren ELF64) olup hedef platform x86-64 Linux'tur
memnixfs.dll, kararlı bir C ABI (extern "C" lmpfs_*) ile motoru sunar; bu sayede C FFI destekleyen dillerde aynı kod çalıştırılabilir- Eldeki bellek imajlarını okuyup analiz eden savunma amaçlı adli analiz/olay müdahale aracıdır; yalnızca yetkili dökümler analiz edilmeli ve ele geçirilmiş ana makine dökümleri güvenilmeyen veri olarak değerlendirilmelidir
- MemProcFS ve Volatility 3'ten esinlenen, birlikte çalışabilir bağımsız bir projedir; hiçbir tarafla bağlılık/onay ilişkisi yoktur
- Apache-2.0 lisansı
Henüz yorum yok.