Rekall记忆法医学框架
rekall的Python项目详细描述
#Rekall法证和事故响应框架
Rekall框架是一个完全开放的工具集合, 在apache和gnu通用公共许可下用python实现, 用于数字文物计算机系统的提取和分析。
Rekall分布可从以下站点获得: <;http://www.rekall-forensic.com/>;
Rekall应该在任何支持 [Python](http://www.python.org)
Rekall支持对以下32位和64位内存的研究 图像:
- Microsoft Windows XP Service Pack 2和3
- Microsoft Windows 7 Service Pack 0和1
- Microsoft Windows 8和8.1
- Microsoft Windows 10
- Linux内核2.6.24到4.4。
- OSX 10.7-10.12.x.
Rekall还为所有 主要操作系统(请参阅工具目录)。
##快速入门
rekall是一个可通过pip安装的python包。 包装经理。要安装它,首先创建一个virtal env,切换到 然后安装rekall:
` $ virtualenv /tmp/MyEnv New python executable in /tmp/MyEnv/bin/python Installing setuptools, pip...done. $ source /tmp/MyEnv/bin/activate $ pip install --upgrade setuptools pip wheel $ pip install rekall-agent rekall `
对于windows,rekall也可以作为一个独立的安装程序使用 包裹。请检查下载页以获取最合适的安装程序 使用[rekall forensic.com](http://www.rekall-forensic.com/)
要从这个git存储库安装,您需要使用pip –可编辑并遵循正确的安装顺序(否则为pip 将拉取可能较旧的已释放依赖项:
` $ virtualenv /tmp/MyEnv New python executable in /tmp/MyEnv/bin/python Installing setuptools, pip...done. $ source /tmp/MyEnv/bin/activate $ pip install --upgrade setuptools pip wheel $ git clone https://github.com/google/rekall.git rekall $ pip install --editablerekall/rekall-lib $ pip install --editablerekall/rekall-core $ pip install --editablerekall/rekall-agent $ pip install --editable rekall `
在Windows上,您需要安装Microsoft Visual C编译器 对于python(有关更多信息,请参阅此博客文章 http://rekall-forensic.blogspot.ch/2015/09/installing-rekall-on-windows.html)
##邮件列表
支持Rekall用户和开发人员的邮件列表 可在以下地址找到:
rekall-discuss@googlegroups.com
##许可和版权
版权所有(c)2007-2011易失性系统 版权所有2012-2016谷歌公司。保留所有权利。
保留所有权利
此程序是免费软件;您可以重新分发它和/或 根据GNU通用公共许可条款修改 由自由软件基金会出版;或者是第2版 或(由您选择)任何更高版本。
这个程序的发布是希望它能有用, 但没有任何保证;甚至没有 适销性或适合某一特定目的的适销性。见 GNU通用公共许可证了解更多详细信息。
你应该收到GNU通用公共许可证的副本 与此程序一起;如果不是,则写入自由软件 基金会有限公司,59 Temple Place-330套房,马萨诸塞州波士顿 02111-1307,美国。
##错误和支持
Rekall没有提供任何支持。没有 保修;甚至不是为了适销性或适合某一特定 目的。
如果您认为发现了错误,请在以下位置报告:
https://github.com/google/rekall/issues
为了帮助我们尽快解决你的问题, 提交错误时请包括以下信息:
- 您正在使用的rekall版本
- 用于运行rekall的操作系统
- 用于运行rekall的python版本
- 内存映像的可疑操作系统
- 用于运行rekall的完整命令行
##历史记录
2011年12月,在波动性项目内成立了一个新的分支机构 探索如何使代码库更模块化,提高性能,以及 提高可用性。模块化允许在GRR中使用波动性,使 内存分析是远程现场取证策略的核心部分。作为一个 结果,GRR和波动性都能发挥各自的优势。
随着时间的推移,这一分支已被称为“scudette”分支或 “技术预览”分支。试图得到这些改变一直是我们的目标 进入主要波动性代码库。但是,在持续了两年之后 发展,“技术预览”从未被接受进入波动性 后备箱版本。
因为这些变化在未来似乎不太可能被纳入,所以 将技术预览分支作为一个单独的项目开发是有意义的。打开 2013年12月13日,原分公司被分拆为一个新的独立分公司 名为“Rekall”的项目。这个新项目包含了为简化 使rekall可以用作库的代码库。记忆方法 购置款和其他外部捐款也包括 不在波动性代码库中。
Rekall致力于提高记忆分析的技术水平,实现 目前可用的最佳算法以及完整的内存获取和 至少适用于Windows、OSX和Linux的分析解决方案。
##更多文档
更多文件请访问 http://www.rekall-forensic.com/
欢迎加入QQ群-->: 979659372
