【文件属性】：
文件名称：rvmi-rekall:具有rVMI扩展的Rekall取证和事件响应框架
文件大小：6.4MB
文件格式：ZIP
更新时间：2021-05-03 15:26:17
Python rVMI-Rekall 这是Rekall法医和事件响应框架的分支，其中包括rVMI扩展。 在下文中，我们将简要介绍rVMI，重点是Rekall扩展。 如果您正在寻找主要的rVMI存储库，请访问 。 如果您对Rekall感兴趣，请访问或查看下面的Rekall部分。 关于 rVMI是类固醇的调试器。 它利用虚拟机自检（VMI）和内存取证来提供完整的系统分析。 这意味着分析师可以在单个工具中检查用户空间进程，内核驱动程序和预引导环境。 它是专门为交互式动态恶意软件分析而设计的。 通过将其交互式调试环境从虚拟机（VM）移到虚拟机管理程序级别，rVMI使自己与恶意软件隔离。 通过使用VMI，分析人员仍然可以完全控制VM，这使她可以在任何时间暂停VM并使用典型的调试功能（例如断点和观察点）。 此外，rVMI还提供对整个Rekall功能集的访问，这使分析人员可以轻松地检查内核及其数据结构。 使用