MemNixFS - ferramenta para converter dumps de memória do Linux em um sistema de arquivos para investigação
(github.com/MemNixFS)- Framework forense que monta dumps de memória do Linux como uma estrutura comum de arquivos e pastas, permitindo investigação direta com ferramentas existentes
- Suporta imagens AVML / LiME / raw / kdump e pode ser montado em Linux/Windows
- O estado do kernel no momento da captura (processos, arquivos abertos, sockets, módulos carregados, page cache, resultados de threat hunting, linha do tempo forense) é exposto como arquivos/pastas comuns
- Como o próprio dump é tratado como um sistema de arquivos, ferramentas existentes passam a funcionar diretamente como ferramentas de forense de memória
greppesquisa estruturas do kernel,find -newerfiltra page cache com base em mtime,diffcompara duas capturas- Explorer,
less, HxD, ripgrep e Pythonos.walkfuncionam sem adaptação - Pipelines de ingestão de arquivos em SIEM indexam
/syse/forensicsem integração adicional - Não é necessário aprender uma nova linguagem de consulta — navegar pela árvore de diretórios equivale a explorar o kernel
- Funciona mesmo sem símbolos — contorna a limitação comum em que a maioria das ferramentas para quando não há um perfil de depuração (ISF) exato
- Faz descoberta automática de ISF ou obtém com
--auto-fetch; se isso não for possível, gera o necessário a partir das informações de tipo BTF embutidas no kernel - Mesmo analistas que precisam trabalhar em redes isoladas sem internet (air-gapped) conseguem explorar
/fs, conteúdo de arquivos recuperados e análise de processos
- Faz descoberta automática de ISF ou obtém com
- Estrutura da árvore de montagem
proc\<pid>\— maps, fds, threads, kstack, environ, strings e ELF core por processosys\— histórico de shell, banner, dmesg, módulos, net, processes, findevil e outros itens globais do sistemafs\— sistema de arquivos raiz reconstruído (recuperação de conteúdo de arquivos em cache),forensic\— timeline.{txt,csv} + snapshots JSON/CSVsearch\— yara, iocs, strings, entropymem\— phys.raw + streams de kernel-VA com janelasplugins\— produtores de arquivos de terceiros
- As entradas suportadas são AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (dump físico flat via dd etc.) e kdump/vmcore (ELF64 com VMCOREINFO), com foco em Linux x86-64
memnixfs.dllexpõe o mecanismo por meio de uma C ABI estável (extern "C" lmpfs_*), permitindo executar o mesmo código em qualquer linguagem com suporte a C FFI- Ferramenta defensiva de forense/resposta a incidentes para ler e analisar imagens de memória já obtidas; deve analisar apenas dumps autorizados, e dumps de hosts comprometidos devem ser tratados como dados não confiáveis
- Projeto independente inspirado em MemProcFS e Volatility 3, com interoperabilidade, sem afiliação ou endosso de qualquer uma das partes
- Licença Apache-2.0
Ainda não há comentários.