关于Velociraptor
Velociraptor是一款终端节点可视化与数据收集工具,该工具使用了Velociraptor 查询语言 (VQL) ,可以帮助广大研究人员查询收集基于主机的状态信息。
功能介绍
Velociraptor 是一个独特、先进的开源端点监控、数字取证和网络响应平台。当前版本的Velociraptor具备以下功能特点:
1、能够有效应对数据泄露;
2、通过数字取证分析重建威胁行为者的活动;
3、寻找威胁行为者的活动证据;
4、调查恶意软件爆发和其他可疑网络活动;
5、持续监控可疑的用户活动,例如将文件复制到 USB 设备;
6、网络外机密信息泄露;
7、随着时间的推移收集端点数据,以用于威胁搜寻和未来调查;
工具特点
1、有用 ——每个工件和用例都必须向用户返回有价值的信息
2、简单 ——设计和界面必须易于浏览和使用
3、指导性 ——用户不需要是 DFIR 专家,因为所有元素都应提供信息描述和指导
4、功能强大 ——用户无需做太多额外工作即可实现其目标
5、快速 ——性能应快速且对资源的影响较小,同时允许在需要时管理性能
6、可靠 ——每个功能和工件都应按预期工作,并且相对没有错误和问题
工具要求
Go v1.23.2+
make
gcc
Node.js LTS(v18.14.2+)
工具安装
由于该工具基于Go开发,因此我们首先需要在本地设备上安装并配置好Go v1.23.2+环境。
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone git clone https://github.com/Velocidex/velociraptor.git
然后切换到项目目录中,使用下列命令构建源码:
$ cd velociraptor $ cd gui/velociraptor/ $ npm install $ make build $ cd ../.. $ make $ make linux $ make windows
为了在 Linux 上构建 Windows 二进制文件,您需要 mingw 工具。在 Ubuntu 上,这很简单:
$ sudo apt-get install mingw-w64-x86-64-dev gcc-mingw-w64-x86-64 gcc-mingw-w64
工具使用
快速启动
$ velociraptor gui
这将启动 GUI、前端和本地客户端。您可以像往常一样从客户端(仅在您自己的机器上运行)收集工件。
本地运行 Velociraptor
Velociraptor 也可用作本地分类工具。您可以使用 GUI 创建一个独立的本地收集器:
1、按上述方法启动 GUI ( velociraptor gui)。
2、选择Server Artifacts侧边栏菜单,然后Build Collector。
3、选择并配置您想要收集的工件,然后选择选项Uploaded Files并下载您的自定义收集器。
许可证协议
本项目的开发与发布遵循GNU AFFERO GPL v3开源许可协议。
项目地址
Velociraptor:【GitHub传送门】
参考资料
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)