Twitterに書ききれないこと

イベントや技術的なことを記したい・・・

Rekall 1.5.1

ぐぐっても古い情報?しかでなくて困ったのでメモ。

インストール

sudo pip install rekall
sudo apt-get install cabextract

使い方

rekallのバージョン

バージョンごとにオプションの指定の仕方が結構変わってる.

$ rekall --version
{u'full-revisionid': u'fbb28d93a67aa514ed4744e1d49edafc4eb5f8f7', u'dirty': False, u'version': u'1.5.1', u'error': None}

PEファイルのversionをチェック

$ rekall -f ntoskrnl.exe version_scan
  Offset (P)             GUID/Version                         PDB
-------------- --------------------------------- ------------------------------
0x0000002957e0 C68EE22FDCF6477895C54A862BE165671 ntkrnlmp.pdb

PDBをダウンロード

$ rekall fetch_pdb ntoskrnl.exe
Extracting cabinet: /tmp/tmpnrPvPW/ntkrnlmp.pd_
  extracting ntkrnlmp.pdb

All done, no errors.

PDBをパースしてJSON形式にする

$ rekal parse_pdb  ntkrnlmp.pdb > ntkrnlmp.json