2 pontos por xguru 4 시간 전 | Ainda não há comentários. | Compartilhar no WhatsApp
  • Framework forense que monta dumps de memória do Linux como uma estrutura comum de arquivos e pastas, permitindo investigação direta com ferramentas existentes
  • Suporta imagens AVML / LiME / raw / kdump e pode ser montado em Linux/Windows
  • O estado do kernel no momento da captura (processos, arquivos abertos, sockets, módulos carregados, page cache, resultados de threat hunting, linha do tempo forense) é exposto como arquivos/pastas comuns
  • Como o próprio dump é tratado como um sistema de arquivos, ferramentas existentes passam a funcionar diretamente como ferramentas de forense de memória
    • grep pesquisa estruturas do kernel, find -newer filtra page cache com base em mtime, diff compara duas capturas
    • Explorer, less, HxD, ripgrep e Python os.walk funcionam sem adaptação
    • Pipelines de ingestão de arquivos em SIEM indexam /sys e /forensic sem integração adicional
    • Não é necessário aprender uma nova linguagem de consulta — navegar pela árvore de diretórios equivale a explorar o kernel
  • Funciona mesmo sem símbolos — contorna a limitação comum em que a maioria das ferramentas para quando não há um perfil de depuração (ISF) exato
    • Faz descoberta automática de ISF ou obtém com --auto-fetch; se isso não for possível, gera o necessário a partir das informações de tipo BTF embutidas no kernel
    • Mesmo analistas que precisam trabalhar em redes isoladas sem internet (air-gapped) conseguem explorar /fs, conteúdo de arquivos recuperados e análise de processos
  • Estrutura da árvore de montagem
    • proc\<pid>\ — maps, fds, threads, kstack, environ, strings e ELF core por processo
    • sys\ — histórico de shell, banner, dmesg, módulos, net, processes, findevil e outros itens globais do sistema
    • fs\ — sistema de arquivos raiz reconstruído (recuperação de conteúdo de arquivos em cache), forensic\ — timeline.{txt,csv} + snapshots JSON/CSV
    • search\ — yara, iocs, strings, entropy
    • mem\ — phys.raw + streams de kernel-VA com janelas
    • plugins\ — produtores de arquivos de terceiros
  • As entradas suportadas são AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (dump físico flat via dd etc.) e kdump/vmcore (ELF64 com VMCOREINFO), com foco em Linux x86-64
  • memnixfs.dll expõe o mecanismo por meio de uma C ABI estável (extern "C" lmpfs_*), permitindo executar o mesmo código em qualquer linguagem com suporte a C FFI
  • Ferramenta defensiva de forense/resposta a incidentes para ler e analisar imagens de memória já obtidas; deve analisar apenas dumps autorizados, e dumps de hosts comprometidos devem ser tratados como dados não confiáveis
  • Projeto independente inspirado em MemProcFS e Volatility 3, com interoperabilidade, sem afiliação ou endosso de qualquer uma das partes
  • Licença Apache-2.0

Ainda não há comentários.

Ainda não há comentários.