# MemNixFS - 리눅스 메모리 덤프를 파일시스템으로 변환해 조사하는 도구

> Clean Markdown view of GeekNews topic #31134. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=31134](https://news.hada.io/topic?id=31134)
- GeekNews Markdown: [https://news.hada.io/topic/31134.md](https://news.hada.io/topic/31134.md)
- Type: news
- Author: [xguru](https://news.hada.io/@xguru)
- Published: 2026-07-05T09:31:02+09:00
- Updated: 2026-07-05T09:31:02+09:00
- Original source: [github.com/MemNixFS](https://github.com/MemNixFS/MemNixFS)
- Points: 2
- Comments: 0

## Topic Body

- Linux 메모리 덤프를 **일반 파일과 폴더 구조**로 마운트해, **기존 도구**로 그대로 조사하는 포렌식 프레임워크  
- AVML / LiME / raw / kdump 이미지를 지원하며, **리눅스/윈도우에서 마운트** 가능  
- 캡처 시점 커널 상태(프로세스, 열린 파일, 소켓, 로드된 모듈, 페이지 캐시, 위협 헌팅 결과, 포렌식 타임라인)가 평범한 파일/폴더로 노출됨  
- 덤프 자체를 파일시스템으로 다루므로 **기존 도구가 그대로 메모리 포렌식 도구**로 동작  
  - `grep`이 커널 구조를 검색, `find -newer`가 mtime 기준 페이지 캐시 필터링, `diff`가 두 캡처 비교  
  - Explorer, `less`, HxD, ripgrep, Python `os.walk`가 그대로 동작  
  - SIEM 파일 인제스트 파이프라인이 `/sys`, `/forensic`을 추가 연동 없이 인덱싱됨  
  - 새로운 쿼리 언어 학습이 필요없음 - 디렉터리 트리 탐색이 곧 커널 탐색  
- **심볼 없이도 동작** - 정확한 디버그 프로파일(ISF)이 없으면 대부분 도구가 멈추는 기존 한계를 우회함  
  - ISF 자동 탐색 또는 `--auto-fetch`로 가져오되, 불가능하면 커널에 내장된 **BTF 타입 정보**로 필요한 것을 생성  
  - 인터넷도 없는 격리망에서 작업해야하는(air-gapped) 분석가도 탐색 가능한 `/fs`, 복구된 파일 내용, 프로세스 분석을 확보 가능  
- 마운트 트리 구성  
  - `proc\&lt;pid&gt;\` — 프로세스별 maps, fds, threads, kstack, environ, strings, ELF core  
  - `sys\` — 셸 히스토리, 배너, dmesg, 모듈, net, processes, findevil 등 시스템 전역  
  - `fs\` — 재구성된 루트 파일시스템(캐시된 파일 내용 복구), `forensic\` — timeline.{txt,csv} + JSON/CSV 스냅샷  
  - `search\` — yara, iocs, strings, entropy  
  - `mem\` — phys.raw + 윈도잉된 커널-VA 스트림   
  - `plugins\` — 서드파티 파일 프로듀서  
- 지원 입력은 **AVML**(Azure Memory Loader), **LiME**(Linux Memory Extractor), **raw**(dd 등 flat physical dump), **kdump/vmcore**(VMCOREINFO 포함 ELF64)이며 x86-64 Linux 대상  
- `memnixfs.dll`이 안정적인 **C ABI**(`extern "C" lmpfs_*`)로 엔진을 노출해, C FFI를 지원하는 언어면 동일 코드 구동 가능  
- 이미 보유한 메모리 이미지를 읽어 분석하는 **방어적 포렌식/사고 대응 도구**로, 권한 있는 덤프만 분석해야 하며 침해된 호스트 덤프는 신뢰할 수 없는 데이터로 취급해야함   
- MemProcFS와 Volatility 3에서 영감받아 상호운용되는 독립 프로젝트로, 어느 쪽과도 제휴/보증 관계 없음  
- Apache-2.0 라이선스

## Comments



_No public comments on this page._
