Rekall记忆法医学框架
rekall-core的Python项目详细描述
Rekall框架是一个完全开放的工具集合,在 python下的gnu通用公共许可证,用于提取数字 易失性存储器(RAM)样本中的工件。提取技术是 完全独立于正在调查的系统执行,但提供 访问系统的运行时状态。该框架旨在 向人们介绍与提取相关的技术和复杂性 来自易失性存储器样本的数字伪影,并为 进一步研究这个令人兴奋的领域。
Rekall分布以及进一步的信息是可用的 发件人:http://www.rekall-forensic.com/
快速启动
rekall是一个python包,可以通过pip包安装。 经理。只需键入(例如在Linux上):
- sudo pip安装rekall
安装所有依赖项。你还需要有python和pip 先安装。
要运行ipython笔记本,还需要以下各项:
- pip安装jinja2 markupsafe pygments星形行星pyzmq龙卷风wsgiref
如果要使用yarascan插件,请安装[yara and yara python](http://plusvic.github.io/yara/)。
对于windows,rekall也可以作为一个独立的安装程序使用 包裹。请检查下载页以获取最合适的安装程序 使用[rekall forensic.com](http://www.rekall-forensic.com/)
许可和版权
版权所有(c)2007-2011易失性系统 版权所有2012-2014谷歌公司。保留所有权利。
保留所有权利
此程序是免费软件;您可以重新分发它和/或 根据GNU通用公共许可条款修改 由自由软件基金会出版;或者是第2版 或(由您选择)任何更高版本。
这个程序的发布是希望它能有用, 但没有任何保证;甚至没有 适销性或适合某一特定目的的适销性。见 GNU通用公共许可证了解更多详细信息。
你应该收到GNU通用公共许可证的副本 与此程序一起;如果不是,则写入自由软件 基金会有限公司,59 Temple Place-330套房,马萨诸塞州波士顿 02111-1307,美国。
错误和支持
Rekall没有提供任何支持。没有 保修;甚至不是为了适销性或适合某一特定 目的。
如果您认为发现了错误,请在以下位置报告:
https://github.com/google/rekall/issues
为了帮助我们尽快解决你的问题, 提交错误时请包括以下信息:
- 您正在使用的rekall版本
- 用于运行rekall的操作系统
- 用于运行rekall的python版本
- 内存映像的可疑操作系统
- 用于运行rekall的完整命令行
更多文件请访问 http://www.rekall-forensic.com/
欢迎加入QQ群-->: 979659372
