关于ChopChopGo
ChopChopGo是一款针对Linux的取证数据快速收集工具,该工具基于Go语言开发,可以快速全面地分析日志和其他工件,以识别 Linux 上的潜在安全事件和威胁。
功能介绍
1、使用Sigma检测规则和自定义 ChopChopGo 检测规则搜寻威胁;
2、速度快如闪电,使用Go语言编写;
3、干净、轻量的执行和输出格式,减少了不必要的臃肿;
4、支持在 Linux 操作系统上运行;
工具要求
Golang
工具安装
由于该工具基于Go开发,因此我们首先需要在本地设备上安装并配置好最新版本的Go环境。
源码获取
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/M00NLIG7/ChopChopGo.git
然后切换到项目目录中,并通过运行以下命令自行编译代码:
cd ChopChopGo go build
运行下列命令安装systemd开发文件:
apt-get install libsystemd-dev
发布版本
我们还可以直接访问该项目的【Releases页面】下载预编译版本的ChopChopGo 二进制文件以及与之配合的官方 sigma 规则。
工具使用
常规使用
通过syslog执行默认搜索:
./ChopChopGo
通过Auditd日志和官方Sigma规则执行搜索:
./ChopChopGo -target auditd -rules ./rules/linux/auditd/ -file /opt/evidence/auditd.log
通过Journald和指定规则自行搜索:
./ChopChopGo -target journald -rules ./rules/linux/builtin/
替代输出格式
您可能希望以自动化方式使用 ChopChopGo。CSV 和 JSON 输出选项对此很有用。使用这两个选项时,标题和进度统计信息不会打印到控制台。其中,每个选项都可以使用-out参数来设置。
CSV:
./ChopChopGo -target sylog -rules ./rules/linux/builtin/syslog/ -out csv
JSON:
./ChopChopGo -target syslog -rules ./rules/linux/builtin/syslog/ -out json
更新Sigma规则
./update-rules.sh
工具运行演示
许可证协议
本项目的开发与发布遵循GPL-3.0开源许可协议。
项目地址
ChopChopGo:【GitHub传送门】
参考资料
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
