Velociraptor:一款终端节点可视化与数据收集工具

2024-11-17 16 0

关于Velociraptor

Velociraptor是一款终端节点可视化与数据收集工具,该工具使用了Velociraptor 查询语言 (VQL) ,可以帮助广大研究人员查询收集基于主机的状态信息。

功能介绍

Velociraptor 是一个独特、先进的开源端点监控、数字取证和网络响应平台。当前版本的Velociraptor具备以下功能特点:

1、能够有效应对数据泄露;

2、通过数字取证分析重建威胁行为者的活动;

3、寻找威胁行为者的活动证据;

4、调查恶意软件爆发和其他可疑网络活动;

5、持续监控可疑的用户活动,例如将文件复制到 USB 设备;

6、网络外机密信息泄露;

7、随着时间的推移收集端点数据,以用于威胁搜寻和未来调查;

工具特点

1、有用 ——每个工件和用例都必须向用户返回有价值的信息

2、简单 ——设计和界面必须易于浏览和使用

3、指导性 ——用户不需要是 DFIR 专家,因为所有元素都应提供信息描述和指导

4、功能强大 ——用户无需做太多额外工作即可实现其目标

5、快速 ——性能应快速且对资源的影响较小,同时允许在需要时管理性能

6、可靠 ——每个功能和工件都应按预期工作,并且相对没有错误和问题

工具要求

Go v1.23.2+

make

gcc

Node.js LTS(v18.14.2+)

工具安装

由于该工具基于Go开发,因此我们首先需要在本地设备上安装并配置好Go v1.23.2+环境。

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone git clone https://github.com/Velocidex/velociraptor.git

然后切换到项目目录中,使用下列命令构建源码:

$ cd velociraptor

$ cd gui/velociraptor/

$ npm install

$ make build

$ cd ../..

$ make

$ make linux

$ make windows

为了在 Linux 上构建 Windows 二进制文件,您需要 mingw 工具。在 Ubuntu 上,这很简单:

$ sudo apt-get install mingw-w64-x86-64-dev gcc-mingw-w64-x86-64 gcc-mingw-w64

工具使用

快速启动

$ velociraptor gui

这将启动 GUI、前端和本地客户端。您可以像往常一样从客户端(仅在您自己的机器上运行)收集工件。

本地运行 Velociraptor

Velociraptor 也可用作本地分类工具。您可以使用 GUI 创建一个独立的本地收集器:

1、按上述方法启动 GUI ( velociraptor gui)。

2、选择Server Artifacts侧边栏菜单,然后Build Collector。

3、选择并配置您想要收集的工件,然后选择选项Uploaded Files并下载您的自定义收集器。

许可证协议

本项目的开发与发布遵循GNU AFFERO GPL v3开源许可协议。

项目地址

Velociraptor:【GitHub传送门

参考资料

https://docs.velociraptor.app/


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

办事处网络安全监控与事件响应;国外员工终端安全性怎么保障 | FB甲方群话题讨论
拿不下总统之位,那就用热加载拿下验证码识别与爆破好了!
Sooty:一款SoC分析一体化与自动化CLI工具
shiro CVE-2016-6802 路径绕过(越权)
Apache Solr 身份验证绕过漏洞(CVE-2024-45216)详解
llama_index的CVE-2024-4181漏洞根因分析

发布评论