人机界面 rVMI是类固醇的调试器。 它利用虚拟机自检(VMI)和内存取证来提供完整的系统分析。 这意味着分析师可以在单个工具中检查用户空间进程,内核驱动程序和预引导环境。 它是专门为交互式动态恶意软件分析而设计的。 通过将其交互式调试环境从虚拟机(VM)移到虚拟机管理程序级别,rVMI使自己与恶意软件隔离。 通过使用VMI,分析人员仍然可以完全控制VM,这使她可以在任何时间暂停VM并使用典型的调试功能(例如断点和观察点)。 此外,rVMI还提供对整个Rekall功能集的访问,这使分析人员可以轻松地检查内核及其数据结构。 注意:rVMI仅可在具有虚拟化扩展功能的英特尔CPU上运行。 此外,请勿尝试在虚拟环境中运行rVMI。 由于rVMI依赖于硬件虚拟化,因此它将无法在已经虚拟化的环境中运行。 安装 rVMI由三个组件,KVM内核模块,QEMU和Rekall组成。 该存储库将提取所有必需