Linux 内存分析工具

Linux Memory Analysis - Forensics Wiki

一、开源项目

• Volatility Framework
  Python编写的一系列工具，用于从RAM样本中提取数字信息。
  参见 The Volatility Foundation - Open Source Memory Forensics

• Rekall
  fork自Volatility的Python分析框架，增加了一些新特性，比如采集工具。

• Red Hat Crash Utility
  一个扩展Linux内核 core dump 分析程序。设计为debug工具，但是可以用于内存取证。

二、商业产品

• Forcepoint Linux Security (Second Look)

三、不再维护的开源/研究项目

• The Forensic Analysis Toolkit (FATKit)
  跨平台、模块化和可扩展的RAM内存分析数字调查框架
• Foriana is tool for extraction of information such as the process and modules lists from a RAM image using logical relations between OS structures. (Availability/License: GNU GPL)
• Draugr
  Python编写的内存取证工具。
• Volatilitux
  另一个Python编写的内存取证工具。
• Idetect (Linux) http://forensic.seccure.net/
  一个很老的Linux内存分析工具。