Rekall 是 Google 开发的内存分析框架,是完全开放的平台,使用 Python 开发,可以从 RAM 中提取样本,提取技术执行完全独立于系统,提供可视化的系统运行状态,为相关的开发人员提供更多相关的数据和材料。
Rekall 支持所有能运行 Python 的平台。
Rekall 支持以下 32 位和 64 位的内存镜像:
Microsoft Windows XP Service Pack 2 and 3
Microsoft Windows 7 Service Pack 0 and 1
Microsoft Windows 8 and 8.1
Linux Kernels 2.6.24 to 3.10.
OSX 10.6-10.9.x.
Rekall 同时为所有主流系统提供一个完整的内存分析演示示例。
此外,Rekall 提供一个完整的 GUI 来编写报告,驱动分析:
rekall webconsole --browser
