Github: https://github.com/google/rekall
Rekallフォレンジックとインシデント対応フレームワーク
Rekall Frameworkは、PythonでApacheやGNU一般公衆利用許諾契約書に基づいて実装された、デジタル・アーチファクト・コンピュータ・システムの抽出と分析のための完全にオープンなツール集です。
Rekallの配布はhttp://www.rekall-forensic.com/から入手できます。
RekallはPythonをサポートするプラットフォームで実行する必要があります
Rekallは以下の32ビットと64ビットのメモリイメージの調査をサポートしています:
- Microsoft Windows XP Service Pack 2および3
- Microsoft Windows 7 Service Pack 0および1
- Microsoft Windows 8および8.1
- Microsoft Windows 10
- Linuxカーネル2.6.24から最新のものまで
- OSX 10.7-10.12.x。
Rekallは、すべての主要なオペレーティングシステム用の完全なメモリサンプル取得機能も提供します(toolsディレクトリを参照)。
クイックスタート
Rekallはpipパッケージマネージャー経由でインストール可能なpythonパッケージとして利用できます。 インストールするには、まずvirtal envを作成し、それに切り替えてからrekallをインストールします。
$ virtualenv /tmp/MyEnv
New python executable in /tmp/MyEnv/bin/python
Installing setuptools, pip...done.
$ source /tmp/MyEnv/bin/activate
$ pip install --upgrade setuptools pip wheel
$ pip install rekall-agent rekall
Windowsの場合、Rekallは自己完結型のインストーラパッケージとしても利用できます。 Rekall-Forensic.comを使用するための最も適切なインストーラのダウンロードページを確認してください
このgitリポジトリからインストールするには、pip – editableを使用し、正しいインストール順序に従う必要があります(そうしないと、pipはリリースされた古い依存関係を引き出します)。
$ virtualenv /tmp/MyEnv
New python executable in /tmp/MyEnv/bin/python
Installing setuptools, pip...done.
$ source /tmp/MyEnv/bin/activate
$ pip install --upgrade setuptools pip wheel
$ git clone https://github.com/google/rekall.git rekall
$ pip install --editable rekall/rekall-lib
$ pip install --editable rekall/rekall-core
$ pip install --editable rekall/rekall-agent
$ pip install --editable rekall
Windowsでは、Python用のMicrosoft Visual Cコンパイラをインストールする必要があります(詳細は、このブログの記事http://rekall-forensic.blogspot.ch/2015/09/installing-rekall-on-windows.htmlを参照してください)
メーリングリスト
Rekallのユーザーと開発者をサポートするメーリングリストは、次のアドレスにあります。
rekall-discuss@googlegroups.com
ライセンスと著作権
Copyright(C)2007-2011揮発性システムCopyright 2012-2016 Google Inc. All Rights Reserved。
全著作権所有
このプログラムはフリーソフトウェアです。 フリーソフトウェア財団が公表したGNU一般公衆利用許諾契約書の条項の下でそれを再配布および/または改変することができます。 ライセンスのバージョン2または(オプションで)それ以降のバージョン。
このプログラムは有用であることを期待して配布されていますが、いかなる保証もありません。 商品性または特定目的への適合性の暗黙の保証さえも含みません。 詳細については、GNU General Public Licenseを参照してください。
このプログラムと共にGNU General Public Licenseのコピーを受け取ったはずです。 そうでない場合は、Free Software Foundation、Inc.、59 Temple Place – Suite 330、Boston、MA 02111-1307、USAにお書きください。
バグとサポート
Rekallのサポートはありません。 保証はありません。 商品性や特定の目的への適合性についてさえも、
バグを発見したと思われる場合は、以下に報告してください:
https://github.com/google/rekall/issues
できるだけ早く問題を解決するために、バグを提出する際に次の情報を記載してください。
- 使用しているrekallのバージョン
- rekallを実行するために使用されたオペレーティングシステム
- rekallを実行するために使用されるpythonのバージョン
- メモリイメージの疑わしいオペレーティングシステム
- あなたがrekallを実行するために使用した完全なコマンドライン
歴史
2011年12月、コードベースをモジュール化し、パフォーマンスを向上させ、ユーザビリティを向上させる方法を探究するために、ボラティリティプロジェクトの新しい支店が作成されました。 モジュール性により、GRRでのボラティリティの使用が可能になり、メモリ分析はリモートの法医学を可能にする戦略の中核となります。 結果として、GRRとボラティリティの両方が互いの強みを利用できるようになります。
時間の経過とともに、このブランチは “scudette”ブランチまたは “Technology Preview”ブランチとして知られるようになりました。 これらの変更を主なボラティリティコードベースに取り入れることは常に目標でした。 しかし、2年間の継続的な開発の後、「技術プレビュー」はボラティリティトランクバージョンには決して受け入れられませんでした。
これらの変更は将来不可避であると思われたので、Technology Previewブランチを別のプロジェクトとして開発することが理にかなっていました。 2013年12月13日、元のブランチは、 “Rekall”という新しいスタンドアロンプロジェクトを作成するためにフォークされました。この新しいプロジェクトでは、Rekallをライブラリとして使用できるようにコードベースを合理化するための変更を取り入れています。ボラティリティのコードベースには含まれていない外部貢献も含まれています。
Rekallは、現在利用可能な最高のアルゴリズムを実装し、少なくともWindows、OSXおよびLinux用の完全なメモリ取得および解析ソリューションを実装して、メモリ解析における最先端技術の進歩に努めています。
その他のドキュメント
詳細なドキュメントは、 http://www.rekall-forensic.com/で入手できます。