Rekall - Rekall Memory Forensic Framework
Oleh
chmood
Distribusi Rekall tersedia dari: http://www.rekall-forensic.com
Rekall harus berjalan pada platform yang mendukung Python
Rekall mendukung investigasi dari 32bit dan 64bit memori gambar berikut:
Microsoft Windows XP Service 2 dan 3
Microsoft Windows 7 Service Pack 0 dan 1
Microsoft Windows 8 dan 8.1
Linux Kernel 2.6.24 ke 3.10.
OSX 10.7-10.10.x.
Rekall juga menyediakan kemampuan akuisisi sampel memori lengkap untuk semua sistem operasi utama (lihat direktori tools).
Selain itu Rekall sekarang fitur GUI lengkap untuk menulis laporan, dan analisis mengemudi, mencobanya dengan:
rekall webconsole --browser
Mulai cepat
Rekall tersedia sebagai paket python diinstal melalui manajer paket pip. Cukup ketik (misalnya di Linux):
sudo pip install rekall
Anda mungkin perlu secara khusus memungkinkan perangkat lunak pre-release untuk dimasukkan (sampai Rekall membuat rilis stabil utama):
sudo pip install --pre rekall
Untuk memiliki semua dependensi diinstal. Anda masih perlu memiliki python dan pip diinstal terlebih dahulu.
Jika Anda ingin menggunakan plugin yarascan, menginstal yara dan yara-python .
Untuk jendela, Rekall juga tersedia sebagai paket installer mandiri. Silakan periksa halaman download untuk installer yang paling tepat untuk digunakan Rekall-Forensic.com
Sejarah
Pada Desember 2011, sebuah cabang baru dalam proyek Volatilitas diciptakan untuk mengeksplorasi bagaimana membuat basis kode lebih modular, meningkatkan kinerja, dan meningkatkan kegunaan. Modularitas memungkinkan Volatilitas untuk digunakan dalam GRR, membuat analisis memori bagian inti dari strategi untuk mengaktifkan forensik hidup terpencil. Akibatnya, baik GRR dan Volatilitas akan dapat menggunakan kekuatan satu sama lain.
Seiring waktu cabang ini telah menjadi dikenal sebagai "scudette" cabang atau "Technology Preview" cabang. Itu selalu tujuan untuk mencoba untuk mendapatkan perubahan ini ke dalam basis kode Volatilitas utama. Tapi, setelah dua tahun pembangunan yang sedang berlangsung, "Technology Preview" tidak pernah diterima ke dalam versi Volatilitas bagasi.
Karena tampaknya tidak mungkin perubahan ini akan dimasukkan di masa depan, itu masuk akal untuk mengembangkan cabang Technology Preview sebagai proyek terpisah. Pada tanggal 13 Desember 2013, mantan cabang bercabang untuk membuat proyek yang berdiri sendiri baru bernama "Rekall." Proyek baru ini menggabungkan perubahan yang dibuat untuk merampingkan basis kode sehingga Rekall dapat digunakan sebagai perpustakaan. Metode untuk akuisisi memori dan lainnya kontribusi luar juga telah disertakan yang tidak di basis kode Volatilitas.
Rekall berusaha untuk memajukan keadaan seni dalam analisis memori, menerapkan algoritma terbaik saat ini tersedia dan akuisisi memori dan solusi analisis lengkap untuk setidaknya Windows, OSX dan Linux.
Dokumentasi yang lebih
dokumentasi lebih lanjut tersedia di: http://www.rekall-forensic.com
screenshot:
Komentar