MemNixFS - 리눅스 메모리 덤프를 파일시스템으로 변환해 조사하는 도구
요약
MemNixFS는 리눅스 메모리 덤프를 일반 파일과 폴더 구조로 변환하여 마운트할 수 있게 해주는 포렌식 프레임워크입니다. 기존의 파일 탐색기나 grep, diff 같은 표준 도구를 사용하여 커널 상태와 프로세스 정보를 손쉽게 조사할 수 있습니다.
핵심 포인트
- 메모리 덤프를 파일시스템 형태로 마운트하여 기존 도구 활용 가능
- 심볼 없이도 BTF 타입 정보를 활용해 커널 분석 지원
- 프로세스, 네트워크, 파일 시스템 등 커널 상태를 디렉터리 구조로 노출
- AVML, LiME, kdump 등 다양한 메모리 이미지 포맷 지원
- C ABI를 지원하여 다양한 언어에서 엔진 활용 가능
- Linux 메모리 덤프를
일반 파일과 폴더 구조로 마운트해, 기존 도구로 그대로 조사하는 포렌식 프레임워크 - AVML / LiME / raw / kdump 이미지를 지원하며,
리눅스/윈도우에서 마운트 가능 - 캡처 시점 커널 상태(프로세스, 열린 파일, 소켓, 로드된 모듈, 페이지 캐시, 위협 헌팅 결과, 포렌식 타임라인)가 평범한 파일/폴더로 노출됨
- 덤프 자체를 파일시스템으로 다루므로
기존 도구가 그대로 메모리 포렌식 도구로 동작
grep
이 커널 구조를 검색, find -newer
가 mtime 기준 페이지 캐시 필터링, diff
가 두 캡처 비교
- Explorer,
less
, HxD, ripgrep, Python os.walk
가 그대로 동작
- SIEM 파일 인제스트 파이프라인이
/sys
, /forensic
을 추가 연동 없이 인덱싱됨
- 새로운 쿼리 언어 학습이 필요없음 - 디렉터리 트리 탐색이 곧 커널 탐색
심볼 없이도 동작 - 정확한 디버그 프로파일(ISF)이 없으면 대부분 도구가 멈추는 기존 한계를 우회함
- ISF 자동 탐색 또는
--auto-fetch
로 가져오되, 불가능하면 커널에 내장된 BTF 타입 정보로 필요한 것을 생성
- 인터넷도 없는 격리망에서 작업해야하는(air-gapped) 분석가도 탐색 가능한
/fs
, 복구된 파일 내용, 프로세스 분석을 확보 가능
- 마운트 트리 구성
proc\<pid>\
— 프로세스별 maps, fds, threads, kstack, environ, strings, ELF core
sys\
— 셸 히스토리, 배너, dmesg, 모듈, net, processes, findevil 등 시스템 전역
fs\
— 재구성된 루트 파일시스템(캐시된 파일 내용 복구), forensic\
— timeline.{txt,csv} + JSON/CSV 스냅샷
search\
— yara, iocs, strings, entropy
mem\
— phys.raw + 윈도잉된 커널-VA 스트림
plugins\
— 서드파티 파일 프로듀서
- 지원 입력은
AVML(Azure Memory Loader), LiME(Linux Memory Extractor), raw(dd 등 flat physical dump), kdump/vmcore(VMCOREINFO 포함 ELF64)이며 x86-64 Linux 대상
memnixfs.dll
이 안정적인 C ABI(extern "C" lmpfs_*
)로 엔진을 노출해, C FFI를 지원하는 언어면 동일 코드 구동 가능
- 이미 보유한 메모리 이미지를 읽어 분석하는
방어적 포렌식/사고 대응 도구로, 권한 있는 덤프만 분석해야 하며 침해된 호스트 덤프는 신뢰할 수 없는 데이터로 취급해야함 - MemProcFS와 Volatility 3에서 영감받아 상호운용되는 독립 프로젝트로, 어느 쪽과도 제휴/보증 관계 없음
- Apache-2.0 라이선스
댓글과 토론
AI 자동 생성 콘텐츠
본 콘텐츠는 GeekNews의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기