MemNixFS – un outil pour convertir les dumps mémoire Linux en système de fichiers afin de les analyser
(github.com/MemNixFS)- Un framework forensique qui monte les dumps mémoire Linux sous forme de structure de fichiers et dossiers ordinaires, afin de les analyser tels quels avec des outils existants
- Prend en charge les images AVML / LiME / raw / kdump, avec possibilité de montage sous Linux et Windows
- L’état du noyau au moment de la capture (processus, fichiers ouverts, sockets, modules chargés, cache de pages, résultats de threat hunting, timeline forensique) est exposé sous forme de fichiers/dossiers ordinaires
- Comme le dump lui-même est traité comme un système de fichiers, les outils existants fonctionnent tels quels comme outils de forensique mémoire
greprecherche dans les structures du noyau,find -newerfiltre le cache de pages selon le mtime,diffcompare deux captures- Explorer,
less, HxD, ripgrep etos.walkde Python fonctionnent tels quels - Les pipelines d’ingestion de fichiers des SIEM indexent
/syset/forensicsans intégration supplémentaire - Pas besoin d’apprendre un nouveau langage de requête : parcourir l’arborescence revient à explorer le noyau
- Fonctionne même sans symboles : contourne la limite classique où la plupart des outils s’arrêtent en l’absence d’un profil de débogage exact (ISF)
- Recherche automatiquement l’ISF ou le récupère via
--auto-fetch, mais si ce n’est pas possible, génère ce qui est nécessaire à partir des informations de type BTF intégrées au noyau - Les analystes devant travailler dans des réseaux isolés (air-gapped), sans accès à Internet, peuvent tout de même accéder à
/fs, au contenu de fichiers récupérés et à l’analyse des processus
- Recherche automatiquement l’ISF ou le récupère via
- Structure de l’arborescence montée
proc\<pid>\— maps, fds, threads, kstack, environ, strings et core ELF par processussys\— historique shell, bannière, dmesg, modules, net, processes, findevil, etc. à l’échelle du systèmefs\— système de fichiers racine reconstruit (récupération du contenu de fichiers en cache),forensic\— timeline.{txt,csv} + instantanés JSON/CSVsearch\— yara, iocs, strings, entropymem\— phys.raw + flux VA noyau fenêtrésplugins\— producteurs de fichiers tiers
- Les entrées prises en charge sont AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (dump physique plat, par ex. dd) et kdump/vmcore (ELF64 incluant VMCOREINFO), pour des cibles Linux x86-64
memnixfs.dllexpose le moteur via une ABI C stable (extern "C" lmpfs_*), ce qui permet d’exécuter le même code depuis tout langage prenant en charge la FFI C- Outil de forensique défensive/réponse à incident qui lit et analyse des images mémoire déjà en votre possession ; seuls les dumps autorisés doivent être analysés, et les dumps provenant d’hôtes compromis doivent être traités comme des données non fiables
- Projet indépendant inspiré par MemProcFS et Volatility 3, interopérable avec eux, sans affiliation ni garantie de leur part
- Licence Apache-2.0
Aucun commentaire pour le moment.