mquire: 외부 의존성 없이 리눅스 메모리 포렌식
"mquire"는 외부 디버그 심볼에 의존하지 않고 리눅스 메모리 포렌식을 수행하도록 설계된 새로운 오픈 소스 도구입니다. 메모리 덤프 자체에서 필요한 정보를 직접 추출하여, 커널 버전을 일치시킬 필요가 없습니다. 이는 알 수 없는 커널 및 사용자 정의 빌드를 분석할 수 있게 해주며, 사고 대응 담당자에게 상당한 이점을 제공합니다. 이 도구는 메모리 덤프 내에서 발견된 BTF 타입 정보와 Kallsyms 심볼 주소를 활용합니다. mquire는 osquery에서 영감을 얻은 대화형 SQL 인터페이스를 제공하여 데이터를 쉽게 탐색할 수 있습니다. 사용자는 일회성 쿼리를 실행하거나 대화형으로 탐색하여 실행 중인 프로세스 및 열린 파일과 같은 정보를 검색할 수 있습니다. 현재 기능으로는 시스템 버전, 작업, 열린 파일, 메모리 매핑 등에 접근하는 것이 포함됩니다. mquire는 또한 삭제된 경우에도 커널의 파일 캐시에서 파일을 추출하는 ".dump" 명령을 제공합니다. 사용 사례로는 사고 대응, 포렌식 분석, 멀웨어 분석 및 보안 연구가 있습니다. 제한 사항으로는 사용자 공간 데이터에 접근할 수 없고 Kallsyms 형식에 의존한다는 점이 있습니다. 향후 개발 계획으로는 확장된 테이블 지원, 향상된 캐싱 및 DMA 기반 획득이 포함됩니다. mquire는 리눅스용 사전 빌드된 바이너리와 함께 GitHub에서 사용할 수 있습니다. 이 기사는 사용자들에게 mquire를 사용해보고 피드백을 제공하도록 권장합니다.
