• Linux मेमोरी डंप को सामान्य फ़ाइल और फ़ोल्डर संरचना के रूप में mount करके, मौजूदा tools से वैसे ही जांचने वाला forensic framework
  • AVML / LiME / raw / kdump images को support करता है, और Linux/Windows पर mount किया जा सकता है
  • capture के समय kernel state (processes, open files, sockets, loaded modules, page cache, threat hunting results, forensic timeline) साधारण files/folders के रूप में expose होती है
  • dump को ही filesystem की तरह treat करने से मौजूदा tools वैसे ही memory forensic tools की तरह काम करते हैं
    • grep kernel structures खोजता है, find -newer mtime के आधार पर page cache filter करता है, diff दो captures की तुलना करता है
    • Explorer, less, HxD, ripgrep, Python os.walk वैसे ही काम करते हैं
    • SIEM file ingest pipeline बिना अतिरिक्त integration के /sys, /forensic को index करती है
    • नई query language सीखने की जरूरत नहीं - directory tree explore करना ही kernel explore करना है
  • symbols के बिना भी काम करता है - सटीक debug profile (ISF) न होने पर ज्यादातर tools रुक जाने की मौजूदा सीमा को bypass करता है
    • ISF को auto-discover करता है या --auto-fetch से fetch करता है; संभव न हो तो kernel में embedded BTF type information से आवश्यक चीजें generate करता है
    • बिना internet वाले isolated network (air-gapped) में काम करने वाले analysts भी explore करने योग्य /fs, recovered file contents और process analysis हासिल कर सकते हैं
  • mount tree संरचना
    • proc\<pid>\ — per-process maps, fds, threads, kstack, environ, strings, ELF core
    • sys\ — shell history, banner, dmesg, modules, net, processes, findevil आदि system-wide items
    • fs\ — reconstructed root filesystem (cached file contents recovery), forensic\ — timeline.{txt,csv} + JSON/CSV snapshots
    • search\ — yara, iocs, strings, entropy
    • mem\ — phys.raw + windowed kernel-VA streams
    • plugins\ — third-party file producers
  • supported inputs हैं AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (dd आदि flat physical dump), kdump/vmcore (VMCOREINFO सहित ELF64), और target x86-64 Linux है
  • memnixfs.dll stable C ABI (extern "C" lmpfs_*) के जरिए engine expose करता है, इसलिए C FFI support करने वाली languages में वही code चल सकता है
  • यह पहले से मौजूद memory images को पढ़कर analyze करने वाला defensive forensics/incident response tool है; सिर्फ authorized dumps का analysis करना चाहिए, और compromised hosts के dumps को untrusted data माना जाना चाहिए
  • MemProcFS और Volatility 3 से प्रेरित, उनके साथ interoperable independent project है; किसी के साथ affiliation/endorsement संबंध नहीं है
  • Apache-2.0 license

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.