2 puntos por xguru 4 시간 전 | Aún no hay comentarios. | Compartir por WhatsApp
  • Framework forense que monta volcados de memoria de Linux como una estructura normal de archivos y carpetas, para investigarlos tal cual con herramientas existentes
  • Soporta imágenes AVML / LiME / raw / kdump, y puede montarse en Linux/Windows
  • El estado del kernel en el momento de la captura (procesos, archivos abiertos, sockets, módulos cargados, caché de páginas, resultados de threat hunting, timeline forense) se expone como archivos/carpetas comunes
  • Como el propio volcado se trata como un sistema de archivos, las herramientas existentes funcionan tal cual como herramientas de forense de memoria
    • grep busca estructuras del kernel, find -newer filtra la caché de páginas por mtime, diff compara dos capturas
    • Explorer, less, HxD, ripgrep y Python os.walk funcionan tal cual
    • Los pipelines de ingestión de archivos de SIEM indexan /sys y /forensic sin integración adicional
    • No hace falta aprender un nuevo lenguaje de consultas: explorar el árbol de directorios es explorar el kernel
  • Funciona incluso sin símbolos: evita la limitación tradicional en la que la mayoría de las herramientas se detienen si no hay un perfil de depuración exacto (ISF)
    • Busca automáticamente el ISF o lo obtiene con --auto-fetch; si no es posible, genera lo necesario a partir de la información de tipos BTF integrada en el kernel
    • Analistas que deben trabajar en redes aisladas (air-gapped), incluso sin Internet, pueden obtener /fs navegable, contenido de archivos recuperado y análisis de procesos
  • Estructura del árbol de montaje
    • proc\<pid>\ — maps, fds, threads, kstack, environ, strings y ELF core por proceso
    • sys\ — historial de shell, banners, dmesg, módulos, net, processes, findevil y elementos globales del sistema
    • fs\ — sistema de archivos raíz reconstruido (recuperación de contenido de archivos en caché), forensic\ — timeline.{txt,csv} + snapshots JSON/CSV
    • search\ — yara, iocs, strings, entropy
    • mem\ — phys.raw + streams de VA del kernel con ventanas
    • plugins\ — productores de archivos de terceros
  • Las entradas soportadas son AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (volcado físico plano como dd), kdump/vmcore (ELF64 con VMCOREINFO), para objetivos Linux x86-64
  • memnixfs.dll expone el motor mediante una ABI C estable (extern "C" lmpfs_*), por lo que el mismo código puede ejecutarse en cualquier lenguaje que soporte C FFI
  • Es una herramienta defensiva de forense/respuesta a incidentes que lee y analiza imágenes de memoria ya disponibles; solo deben analizarse volcados autorizados, y los volcados de hosts comprometidos deben tratarse como datos no confiables
  • Proyecto independiente inspirado por MemProcFS y Volatility 3 e interoperable con ellos, sin afiliación ni respaldo de ninguno de los dos
  • Licencia Apache-2.0

Aún no hay comentarios.

Aún no hay comentarios.