Rekall是Google开发的内存分析框架,是完全开放的平台,使用Pytho开发,可以从RAM中提取样本,提取技术执行完全独立于系统,提供可视化的系统运行状态,为相关的开发人员提供更多相关的数据和材料。
Rekall支持所有能运行Pytho的平台。
Rekall支持以下32位和64位的内存镜像:
MicrosoftWidowsXPServicePack2ad3
MicrosoftWidows7ServicePack0ad1
MicrosoftWidows8ad8.1
LiuxKerels2.6.24to3.10.
OSX10.6-10.9.x.
Rekall同时为所有主流系统提供一个完整的内存分析演示示例。
此外,Rekall提供一个完整的GUI来编写报告,驱动分析:
rekallwebcosole--browser
评论