MemNixFS - Linux मेमोरी डंप को फ़ाइलसिस्टम में बदलकर जांचने का टूल
(github.com/MemNixFS)- Linux मेमोरी डंप को सामान्य फ़ाइल और फ़ोल्डर संरचना के रूप में mount करके, मौजूदा tools से वैसे ही जांचने वाला forensic framework
- AVML / LiME / raw / kdump images को support करता है, और Linux/Windows पर mount किया जा सकता है
- capture के समय kernel state (processes, open files, sockets, loaded modules, page cache, threat hunting results, forensic timeline) साधारण files/folders के रूप में expose होती है
- dump को ही filesystem की तरह treat करने से मौजूदा tools वैसे ही memory forensic tools की तरह काम करते हैं
grepkernel structures खोजता है,find -newermtime के आधार पर page cache filter करता है,diffदो captures की तुलना करता है- Explorer,
less, HxD, ripgrep, Pythonos.walkवैसे ही काम करते हैं - SIEM file ingest pipeline बिना अतिरिक्त integration के
/sys,/forensicको index करती है - नई query language सीखने की जरूरत नहीं - directory tree explore करना ही kernel explore करना है
- symbols के बिना भी काम करता है - सटीक debug profile (ISF) न होने पर ज्यादातर tools रुक जाने की मौजूदा सीमा को bypass करता है
- ISF को auto-discover करता है या
--auto-fetchसे fetch करता है; संभव न हो तो kernel में embedded BTF type information से आवश्यक चीजें generate करता है - बिना internet वाले isolated network (air-gapped) में काम करने वाले analysts भी explore करने योग्य
/fs, recovered file contents और process analysis हासिल कर सकते हैं
- ISF को auto-discover करता है या
- mount tree संरचना
proc\<pid>\— per-process maps, fds, threads, kstack, environ, strings, ELF coresys\— shell history, banner, dmesg, modules, net, processes, findevil आदि system-wide itemsfs\— reconstructed root filesystem (cached file contents recovery),forensic\— timeline.{txt,csv} + JSON/CSV snapshotssearch\— yara, iocs, strings, entropymem\— phys.raw + windowed kernel-VA streamsplugins\— third-party file producers
- supported inputs हैं AVML (Azure Memory Loader), LiME (Linux Memory Extractor), raw (dd आदि flat physical dump), kdump/vmcore (VMCOREINFO सहित ELF64), और target x86-64 Linux है
memnixfs.dllstable C ABI (extern "C" lmpfs_*) के जरिए engine expose करता है, इसलिए C FFI support करने वाली languages में वही code चल सकता है- यह पहले से मौजूद memory images को पढ़कर analyze करने वाला defensive forensics/incident response tool है; सिर्फ authorized dumps का analysis करना चाहिए, और compromised hosts के dumps को untrusted data माना जाना चाहिए
- MemProcFS और Volatility 3 से प्रेरित, उनके साथ interoperable independent project है; किसी के साथ affiliation/endorsement संबंध नहीं है
- Apache-2.0 license
अभी कोई टिप्पणी नहीं है.