MemNixFS - Linuxメモリダンプをファイルシステムに変換して調査するツール
(github.com/MemNixFS)- Linuxメモリダンプを通常のファイルとフォルダ構造としてマウントし、既存ツールでそのまま調査できるフォレンジックフレームワーク
- AVML / LiME / raw / kdump イメージをサポートし、Linux/Windowsでマウント可能
- キャプチャ時点のカーネル状態(プロセス、開いているファイル、ソケット、読み込まれたモジュール、ページキャッシュ、脅威ハンティング結果、フォレンジックタイムライン)が普通のファイル/フォルダとして露出
- ダンプ自体をファイルシステムとして扱うため、既存ツールがそのままメモリフォレンジックツールとして動作
grepがカーネル構造を検索し、find -newerがmtime基準でページキャッシュをフィルタリングし、diffが2つのキャプチャを比較- Explorer、
less、HxD、ripgrep、Pythonos.walkがそのまま動作 - SIEMのファイルインジェストパイプラインが追加連携なしで
/sys、/forensicをインデックス化 - 新しいクエリ言語を学ぶ必要がない - ディレクトリツリーの探索がそのままカーネル探索
- シンボルなしでも動作 - 正確なデバッグプロファイル(ISF)がないとほとんどのツールが停止する従来の限界を回避
- ISFを自動探索するか
--auto-fetchで取得し、それが不可能ならカーネルに組み込まれたBTF型情報から必要なものを生成 - インターネットのない隔離環境(air-gapped)で作業しなければならない分析者でも、探索可能な
/fs、復元されたファイル内容、プロセス分析を確保可能
- ISFを自動探索するか
- マウントツリー構成
proc\<pid>\— プロセスごとの maps、fds、threads、kstack、environ、strings、ELF coresys\— シェル履歴、バナー、dmesg、モジュール、net、processes、findevil などシステム全体fs\— 再構成されたルートファイルシステム(キャッシュされたファイル内容を復元)、forensic\— timeline.{txt,csv} + JSON/CSV スナップショットsearch\— yara、iocs、strings、entropymem\— phys.raw + ウィンドウ化されたカーネルVAストリームplugins\— サードパーティ製ファイルプロデューサー
- 対応入力はAVML(Azure Memory Loader)、LiME(Linux Memory Extractor)、raw(dd などのフラットな物理ダンプ)、kdump/vmcore(VMCOREINFO を含む ELF64)で、x86-64 Linux 向け
memnixfs.dllが安定したC ABI(extern "C" lmpfs_*)でエンジンを公開しており、C FFI をサポートする言語なら同じコードを実行可能- すでに保有しているメモリイメージを読み取って分析する防御的フォレンジック/インシデント対応ツールであり、権限のあるダンプのみを分析すべきで、侵害されたホストのダンプは信頼できないデータとして扱う必要あり
- MemProcFS と Volatility 3 に着想を得て相互運用可能な独立プロジェクトであり、いずれとも提携・保証関係はなし
- Apache-2.0 ライセンス
まだコメントはありません。