Rekall內(nèi)存分析框架

Rekall 是 Google 開發(fā)的內(nèi)存分析框架，是完全開放的平臺(tái)，使用 Python 開發(fā)，可以從 RAM 中提取樣本，提取技術(shù)執(zhí)行完全獨(dú)立于系統(tǒng)，提供可視化的系統(tǒng)運(yùn)行狀態(tài)，為相關(guān)的開發(fā)人員提供更多相關(guān)的數(shù)據(jù)和材料。

Rekall 支持所有能運(yùn)行 Python 的平臺(tái)。

Rekall 支持以下 32 位和 64 位的內(nèi)存鏡像：

• Microsoft Windows XP Service Pack 2 and 3

• Microsoft Windows 7 Service Pack 0 and 1

• Microsoft Windows 8 and 8.1

• Linux Kernels 2.6.24 to 3.10.

• OSX 10.6-10.9.x.

Rekall 同時(shí)為所有主流系統(tǒng)提供一個(gè)完整的內(nèi)存分析演示示例。

此外，Rekall 提供一個(gè)完整的 GUI 來(lái)編寫報(bào)告，驅(qū)動(dòng)分析：

rekall webconsole --browser