rvmi-rekall:具有rVMI扩展的Rekall取证和事件响应框架

时间:2024-05-23 09:12:57
【文件属性】:

文件名称:rvmi-rekall:具有rVMI扩展的Rekall取证和事件响应框架

文件大小:6.4MB

文件格式:ZIP

更新时间:2024-05-23 09:12:57

Python

rVMI-Rekall 这是Rekall法医和事件响应框架的分支,其中包括rVMI扩展。 在下文中,我们将简要介绍rVMI,重点是Rekall扩展。 如果您正在寻找主要的rVMI存储库,请访问 。 如果您对Rekall感兴趣,请访问或查看下面的Rekall部分。 关于 rVMI是类固醇的调试器。 它利用虚拟机自检(VMI)和内存取证来提供完整的系统分析。 这意味着分析师可以在单个工具中检查用户空间进程,内核驱动程序和预引导环境。 它是专门为交互式动态恶意软件分析而设计的。 通过将其交互式调试环境从虚拟机(VM)移到虚拟机管理程序级别,rVMI使自己与恶意软件隔离。 通过使用VMI,分析人员仍然可以完全控制VM,这使她可以在任何时间暂停VM并使用典型的调试功能(例如断点和观察点)。 此外,rVMI还提供对整个Rekall功能集的访问,这使分析人员可以轻松地检查内核及其数据结构。 使用


网友评论