rekall:Rekall内存取证框架 源码
Rekall停产 该项目不再维护。 2011年12月,在Volatility项目中创建了一个新分支,以探索如何使代码库更具模块化,提高性能并提高可用性。 该分支后来被分支为Rekall。 模块化允许在使用物理内存分析功能,以实现远程实时内存分析。 得到教训: 多年来,Rekall已对内存分析方法进行了许多改进。 有关更多信息,请参见: : 由于相互依赖的内存结构和早期架构决策的性质,Rekall框架允许有限的模块化。 越来越大的RAM大小和诸如内存加密之类的安全措施正在使传统的物理内存分析变得更加繁琐。 物理内存分析非常脆弱,并且维护繁重。 大多数物理内存分析工具基本上都是内核调试器,无法访问源代码和调试符号。 因此,大多数内存分析可能是调试/逆向工程并使调试符号/结构定义保持最新状态的昂贵过程。 Rekall的积极开发已经暂停了一段时间。 GRR已从使用Rekall切换到支
用户评论