Rekall是Google开发的内存分析框架,是完全开放的平台,使用Python开发,可以从RAM中提取样本,提取技术执行完全独立于系统,提供可视化的系统运行状态,为相关的开发人员提供更多相关的数据和材料。
Rekall支持所有能运行Python的平台。
Rekall支持以下32位和64位的内存镜像:
MicrosoftWindowsXPServicePack2and3
MicrosoftWindows7ServicePack0and1
MicrosoftWindows8and8.1
LinuxKernels2.6.24to3.10.
OSX10.6-10.9.x.
Rekall同时为所有主流系统提供一个完整的内存分析演示示例。
此外,Rekall提供一个完整的GUI来编写报告,驱动分析:
rekallwebconsole--browser
评论