RSS Блог "След бит"
Подписаться
mquire: Судебная экспертиза памяти Linux без внешних зависимостей
mquire - это новый инструмент с открытым исходным кодом, предназначенный для проведения криминалистической экспертизы памяти Linux без использования внешних отладочных символов. Он извлекает необходимую информацию непосредственно из дампа памяти, устраняя необходимость соответствия версий ядра. Это позволяет анализировать неизвестные ядра и пользовательские сборки, что является значительным преимуществом для специалистов по реагированию на инциденты. Инструмент использует информацию о типах BTF и адреса символов Kallsyms, найденные в дампе памяти. mquire предоставляет интерактивный SQL-интерфейс, вдохновленный osquery, для удобного изучения данных. Пользователи могут выполнять одноразовые запросы или исследовать данные в интерактивном режиме, получая информацию, например, о запущенных процессах и открытых файлах. Текущие возможности включают доступ к версии системы, задачам, открытым файлам, отображениям памяти и многому другому. mquire также предлагает команду ".dump" для извлечения файлов из файлового кеша ядра, даже если они были удалены. Области применения включают реагирование на инциденты, криминалистический анализ, анализ вредоносных программ и исследования в области безопасности. Ограничения включают недоступность данных пользовательского пространства и зависимость от формата Kallsyms. Дальнейшая разработка включает расширенную поддержку таблиц, улучшенное кэширование и получение данных на основе DMA. mquire доступен на GitHub с предварительно собранными бинарными файлами для Linux. Статья призывает пользователей попробовать mquire и предоставить обратную связь.
