2 ポイント 投稿者 xguru 4 시간 전 | まだコメントはありません。 | WhatsAppで共有
  • Linuxメモリダンプを通常のファイルとフォルダ構造としてマウントし、既存ツールでそのまま調査できるフォレンジックフレームワーク
  • AVML / LiME / raw / kdump イメージをサポートし、Linux/Windowsでマウント可能
  • キャプチャ時点のカーネル状態(プロセス、開いているファイル、ソケット、読み込まれたモジュール、ページキャッシュ、脅威ハンティング結果、フォレンジックタイムライン)が普通のファイル/フォルダとして露出
  • ダンプ自体をファイルシステムとして扱うため、既存ツールがそのままメモリフォレンジックツールとして動作
    • grepがカーネル構造を検索し、find -newerがmtime基準でページキャッシュをフィルタリングし、diffが2つのキャプチャを比較
    • Explorer、less、HxD、ripgrep、Python os.walkがそのまま動作
    • SIEMのファイルインジェストパイプラインが追加連携なしで/sys/forensicをインデックス化
    • 新しいクエリ言語を学ぶ必要がない - ディレクトリツリーの探索がそのままカーネル探索
  • シンボルなしでも動作 - 正確なデバッグプロファイル(ISF)がないとほとんどのツールが停止する従来の限界を回避
    • ISFを自動探索するか--auto-fetchで取得し、それが不可能ならカーネルに組み込まれたBTF型情報から必要なものを生成
    • インターネットのない隔離環境(air-gapped)で作業しなければならない分析者でも、探索可能な/fs、復元されたファイル内容、プロセス分析を確保可能
  • マウントツリー構成
    • proc\<pid>\ — プロセスごとの maps、fds、threads、kstack、environ、strings、ELF core
    • sys\ — シェル履歴、バナー、dmesg、モジュール、net、processes、findevil などシステム全体
    • fs\ — 再構成されたルートファイルシステム(キャッシュされたファイル内容を復元)、forensic\ — timeline.{txt,csv} + JSON/CSV スナップショット
    • search\ — yara、iocs、strings、entropy
    • mem\ — phys.raw + ウィンドウ化されたカーネルVAストリーム
    • plugins\ — サードパーティ製ファイルプロデューサー
  • 対応入力はAVML(Azure Memory Loader)、LiME(Linux Memory Extractor)、raw(dd などのフラットな物理ダンプ)、kdump/vmcore(VMCOREINFO を含む ELF64)で、x86-64 Linux 向け
  • memnixfs.dllが安定したC ABIextern "C" lmpfs_*)でエンジンを公開しており、C FFI をサポートする言語なら同じコードを実行可能
  • すでに保有しているメモリイメージを読み取って分析する防御的フォレンジック/インシデント対応ツールであり、権限のあるダンプのみを分析すべきで、侵害されたホストのダンプは信頼できないデータとして扱う必要あり
  • MemProcFS と Volatility 3 に着想を得て相互運用可能な独立プロジェクトであり、いずれとも提携・保証関係はなし
  • Apache-2.0 ライセンス

まだコメントはありません。

まだコメントはありません。