MemNixFS: herramienta para convertir volcados de memoria de Linux en un sistema de archivos e investigarlos
(github.com/MemNixFS)- Framework forense que monta volcados de memoria de Linux como una estructura normal de archivos y carpetas, para investigarlos tal cual con herramientas existentes
- Soporta imágenes AVML / LiME / raw / kdump, y puede montarse en Linux/Windows
- El estado del kernel en el momento de la captura (procesos, archivos abiertos, sockets, módulos cargados, caché de páginas, resultados de threat hunting, timeline forense) se expone como archivos/carpetas comunes
- Como el propio volcado se trata como un sistema de archivos, las herramientas existentes funcionan tal cual como herramientas de forense de memoria
grepbusca estructuras del kernel,find -newerfiltra la caché de páginas por mtime,diffcompara dos capturas- Explorer,
less, HxD, ripgrep y Pythonos.walkfuncionan tal cual - Los pipelines de ingestión de archivos de SIEM indexan
/sysy/forensicsin integración adicional - No hace falta aprender un nuevo lenguaje de consultas: explorar el árbol de directorios es explorar el kernel
- Funciona incluso sin símbolos: evita la limitación tradicional en la que la mayoría de las herramientas se detienen si no hay un perfil de depuración exacto (ISF)
- Busca automáticamente el ISF o lo obtiene con
--auto-fetch; si no es posible, genera lo necesario a partir de la información de tipos BTF integrada en el kernel - Analistas que deben trabajar en redes aisladas (air-gapped), incluso sin Internet, pueden obtener
/fsnavegable, contenido de archivos recuperado y análisis de procesos
- Busca automáticamente el ISF o lo obtiene con
- Estructura del árbol de montaje
proc\<pid>\— maps, fds, threads, kstack, environ, strings y ELF core por procesosys\— historial de shell, banners, dmesg, módulos, net, processes, findevil y elementos globales del sistemafs\— sistema de archivos raíz reconstruido (recuperación de contenido de archivos en caché),forensic\— timeline.{txt,csv} + snapshots JSON/CSVsearch\— yara, iocs, strings, entropymem\— phys.raw + streams de VA del kernel con ventanasplugins\— productores de archivos de terceros
- Las entradas soportadas son AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (volcado físico plano como dd), kdump/vmcore (ELF64 con VMCOREINFO), para objetivos Linux x86-64
memnixfs.dllexpone el motor mediante una ABI C estable (extern "C" lmpfs_*), por lo que el mismo código puede ejecutarse en cualquier lenguaje que soporte C FFI- Es una herramienta defensiva de forense/respuesta a incidentes que lee y analiza imágenes de memoria ya disponibles; solo deben analizarse volcados autorizados, y los volcados de hosts comprometidos deben tratarse como datos no confiables
- Proyecto independiente inspirado por MemProcFS y Volatility 3 e interoperable con ellos, sin afiliación ni respaldo de ninguno de los dos
- Licencia Apache-2.0
Aún no hay comentarios.