MemNixFS - 리눅스 메모리 덤프를 파일시스템으로 변환해 조사하는 도구
2 hours ago
3
- Linux 메모리 덤프를 일반 파일과 폴더 구조로 마운트해, 기존 도구로 그대로 조사하는 포렌식 프레임워크
- AVML / LiME / raw / kdump 이미지를 지원하며, 리눅스/윈도우에서 마운트 가능
- 캡처 시점 커널 상태(프로세스, 열린 파일, 소켓, 로드된 모듈, 페이지 캐시, 위협 헌팅 결과, 포렌식 타임라인)가 평범한 파일/폴더로 노출됨
- 덤프 자체를 파일시스템으로 다루므로 기존 도구가 그대로 메모리 포렌식 도구로 동작
- grep이 커널 구조를 검색, find -newer가 mtime 기준 페이지 캐시 필터링, diff가 두 캡처 비교
- Explorer, less, HxD, ripgrep, Python os.walk가 그대로 동작
- SIEM 파일 인제스트 파이프라인이 /sys, /forensic을 추가 연동 없이 인덱싱됨
- 새로운 쿼리 언어 학습이 필요없음 - 디렉터리 트리 탐색이 곧 커널 탐색
- 심볼 없이도 동작 - 정확한 디버그 프로파일(ISF)이 없으면 대부분 도구가 멈추는 기존 한계를 우회함
- ISF 자동 탐색 또는 --auto-fetch로 가져오되, 불가능하면 커널에 내장된 BTF 타입 정보로 필요한 것을 생성
- 인터넷도 없는 격리망에서 작업해야하는(air-gapped) 분석가도 탐색 가능한 /fs, 복구된 파일 내용, 프로세스 분석을 확보 가능
- 마운트 트리 구성
- proc\<pid>\ — 프로세스별 maps, fds, threads, kstack, environ, strings, ELF core
- sys\ — 셸 히스토리, 배너, dmesg, 모듈, net, processes, findevil 등 시스템 전역
- fs\ — 재구성된 루트 파일시스템(캐시된 파일 내용 복구), forensic\ — timeline.{txt,csv} + JSON/CSV 스냅샷
- search\ — yara, iocs, strings, entropy
- mem\ — phys.raw + 윈도잉된 커널-VA 스트림
- plugins\ — 서드파티 파일 프로듀서
- 지원 입력은 AVML(Azure Memory Loader), LiME(Linux Memory Extractor), raw(dd 등 flat physical dump), kdump/vmcore(VMCOREINFO 포함 ELF64)이며 x86-64 Linux 대상
- memnixfs.dll이 안정적인 C ABI(extern "C" lmpfs_*)로 엔진을 노출해, C FFI를 지원하는 언어면 동일 코드 구동 가능
- 이미 보유한 메모리 이미지를 읽어 분석하는 방어적 포렌식/사고 대응 도구로, 권한 있는 덤프만 분석해야 하며 침해된 호스트 덤프는 신뢰할 수 없는 데이터로 취급해야함
- MemProcFS와 Volatility 3에서 영감받아 상호운용되는 독립 프로젝트로, 어느 쪽과도 제휴/보증 관계 없음
- Apache-2.0 라이선스
-
Homepage
-
Tech blog
- MemNixFS - 리눅스 메모리 덤프를 파일시스템으로 변환해 조사하는 도구