Rekall - Rekall Memory Forensic Framework

chmood

Rekall Framework adalah kumpulan benar-benar terbuka alat, dilaksanakan di Python di bawah GNU General Public License, untuk ekstraksi artefak digital dari volatile memori (RAM) sampel. Teknik-teknik ekstraksi yang dilakukan benar-benar independen dari sistem sedang diselidiki tetapi menawarkan visibilty ke negara runtime dari sistem. Kerangka kerja ini dimaksudkan untuk memperkenalkan orang dengan teknik dan kompleksitas yang terkait dengan penggalian artefak digital dari sampel memori volatile dan menyediakan platform untuk bekerja lebih lanjut ke daerah ini menarik dari penelitian.

Distribusi Rekall tersedia dari: http://www.rekall-forensic.com

Rekall harus berjalan pada platform yang mendukung Python

Rekall mendukung investigasi dari 32bit dan 64bit memori gambar berikut:

Microsoft Windows XP Service 2 dan 3
Microsoft Windows 7 Service Pack 0 dan 1
Microsoft Windows 8 dan 8.1
Linux Kernel 2.6.24 ke 3.10.
OSX 10.7-10.10.x.

Rekall juga menyediakan kemampuan akuisisi sampel memori lengkap untuk semua sistem operasi utama (lihat direktori tools).

Selain itu Rekall sekarang fitur GUI lengkap untuk menulis laporan, dan analisis mengemudi, mencobanya dengan:

rekall webconsole --browser

Mulai cepat


Rekall tersedia sebagai paket python diinstal melalui manajer paket pip. Cukup ketik (misalnya di Linux):



sudo pip install rekall

Anda mungkin perlu secara khusus memungkinkan perangkat lunak pre-release untuk dimasukkan (sampai Rekall membuat rilis stabil utama):



sudo pip install --pre rekall

Untuk memiliki semua dependensi diinstal. Anda masih perlu memiliki python dan pip diinstal terlebih dahulu.

Jika Anda ingin menggunakan plugin yarascan, menginstal yara dan yara-python .

Untuk jendela, Rekall juga tersedia sebagai paket installer mandiri. Silakan periksa halaman download untuk installer yang paling tepat untuk digunakan Rekall-Forensic.com

Sejarah


Pada Desember 2011, sebuah cabang baru dalam proyek Volatilitas diciptakan untuk mengeksplorasi bagaimana membuat basis kode lebih modular, meningkatkan kinerja, dan meningkatkan kegunaan. Modularitas memungkinkan Volatilitas untuk digunakan dalam GRR, membuat analisis memori bagian inti dari strategi untuk mengaktifkan forensik hidup terpencil. Akibatnya, baik GRR dan Volatilitas akan dapat menggunakan kekuatan satu sama lain.

Seiring waktu cabang ini telah menjadi dikenal sebagai "scudette" cabang atau "Technology Preview" cabang. Itu selalu tujuan untuk mencoba untuk mendapatkan perubahan ini ke dalam basis kode Volatilitas utama. Tapi, setelah dua tahun pembangunan yang sedang berlangsung, "Technology Preview" tidak pernah diterima ke dalam versi Volatilitas bagasi.


Karena tampaknya tidak mungkin perubahan ini akan dimasukkan di masa depan, itu masuk akal untuk mengembangkan cabang Technology Preview sebagai proyek terpisah. Pada tanggal 13 Desember 2013, mantan cabang bercabang untuk membuat proyek yang berdiri sendiri baru bernama "Rekall." Proyek baru ini menggabungkan perubahan yang dibuat untuk merampingkan basis kode sehingga Rekall dapat digunakan sebagai perpustakaan. Metode untuk akuisisi memori dan lainnya kontribusi luar juga telah disertakan yang tidak di basis kode Volatilitas.


Rekall berusaha untuk memajukan keadaan seni dalam analisis memori, menerapkan algoritma terbaik saat ini tersedia dan akuisisi memori dan solusi analisis lengkap untuk setidaknya Windows, OSX dan Linux.

Dokumentasi yang lebih


dokumentasi lebih lanjut tersedia di: http://www.rekall-forensic.com

screenshot:








Komentar