2 points par xguru 4 시간 전 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Un framework forensique qui monte les dumps mémoire Linux sous forme de structure de fichiers et dossiers ordinaires, afin de les analyser tels quels avec des outils existants
  • Prend en charge les images AVML / LiME / raw / kdump, avec possibilité de montage sous Linux et Windows
  • L’état du noyau au moment de la capture (processus, fichiers ouverts, sockets, modules chargés, cache de pages, résultats de threat hunting, timeline forensique) est exposé sous forme de fichiers/dossiers ordinaires
  • Comme le dump lui-même est traité comme un système de fichiers, les outils existants fonctionnent tels quels comme outils de forensique mémoire
    • grep recherche dans les structures du noyau, find -newer filtre le cache de pages selon le mtime, diff compare deux captures
    • Explorer, less, HxD, ripgrep et os.walk de Python fonctionnent tels quels
    • Les pipelines d’ingestion de fichiers des SIEM indexent /sys et /forensic sans intégration supplémentaire
    • Pas besoin d’apprendre un nouveau langage de requête : parcourir l’arborescence revient à explorer le noyau
  • Fonctionne même sans symboles : contourne la limite classique où la plupart des outils s’arrêtent en l’absence d’un profil de débogage exact (ISF)
    • Recherche automatiquement l’ISF ou le récupère via --auto-fetch, mais si ce n’est pas possible, génère ce qui est nécessaire à partir des informations de type BTF intégrées au noyau
    • Les analystes devant travailler dans des réseaux isolés (air-gapped), sans accès à Internet, peuvent tout de même accéder à /fs, au contenu de fichiers récupérés et à l’analyse des processus
  • Structure de l’arborescence montée
    • proc\<pid>\ — maps, fds, threads, kstack, environ, strings et core ELF par processus
    • sys\ — historique shell, bannière, dmesg, modules, net, processes, findevil, etc. à l’échelle du système
    • fs\ — système de fichiers racine reconstruit (récupération du contenu de fichiers en cache), forensic\ — timeline.{txt,csv} + instantanés JSON/CSV
    • search\ — yara, iocs, strings, entropy
    • mem\ — phys.raw + flux VA noyau fenêtrés
    • plugins\ — producteurs de fichiers tiers
  • Les entrées prises en charge sont AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (dump physique plat, par ex. dd) et kdump/vmcore (ELF64 incluant VMCOREINFO), pour des cibles Linux x86-64
  • memnixfs.dll expose le moteur via une ABI C stable (extern "C" lmpfs_*), ce qui permet d’exécuter le même code depuis tout langage prenant en charge la FFI C
  • Outil de forensique défensive/réponse à incident qui lit et analyse des images mémoire déjà en votre possession ; seuls les dumps autorisés doivent être analysés, et les dumps provenant d’hôtes compromis doivent être traités comme des données non fiables
  • Projet indépendant inspiré par MemProcFS et Volatility 3, interopérable avec eux, sans affiliation ni garantie de leur part
  • Licence Apache-2.0

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.