freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Velociraptor:一款终端节点可视化与数据收集工具
2024-11-13 22:48:03
所属地 广西

关于Velociraptor

Velociraptor是一款终端节点可视化与数据收集工具,该工具使用了Velociraptor 查询语言 (VQL) ,可以帮助广大研究人员查询收集基于主机的状态信息。

功能介绍

Velociraptor 是一个独特、先进的开源端点监控、数字取证和网络响应平台。当前版本的Velociraptor具备以下功能特点:

1、能够有效应对数据泄露;

2、通过数字取证分析重建威胁行为者的活动;

3、寻找威胁行为者的活动证据;

4、调查恶意软件爆发和其他可疑网络活动;

5、持续监控可疑的用户活动,例如将文件复制到 USB 设备;

6、网络外机密信息泄露;

7、随着时间的推移收集端点数据,以用于威胁搜寻和未来调查;

工具特点

1、有用 ——每个工件和用例都必须向用户返回有价值的信息

2、简单 ——设计和界面必须易于浏览和使用

3、指导性 ——用户不需要是 DFIR 专家,因为所有元素都应提供信息描述和指导

4、功能强大 ——用户无需做太多额外工作即可实现其目标

5、快速 ——性能应快速且对资源的影响较小,同时允许在需要时管理性能

6、可靠 ——每个功能和工件都应按预期工作,并且相对没有错误和问题

工具要求

Go v1.23.2+

make

gcc

Node.js LTS(v18.14.2+)

工具安装

由于该工具基于Go开发,因此我们首先需要在本地设备上安装并配置好Go v1.23.2+环境。

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone git clone https://github.com/Velocidex/velociraptor.git

然后切换到项目目录中,使用下列命令构建源码:

$ cd velociraptor

$ cd gui/velociraptor/

$ npm install

$ make build

$ cd ../..

$ make

$ make linux

$ make windows

为了在 Linux 上构建 Windows 二进制文件,您需要 mingw 工具。在 Ubuntu 上,这很简单:

$ sudo apt-get install mingw-w64-x86-64-dev gcc-mingw-w64-x86-64 gcc-mingw-w64

工具使用

快速启动

$ velociraptor gui

这将启动 GUI、前端和本地客户端。您可以像往常一样从客户端(仅在您自己的机器上运行)收集工件。

本地运行 Velociraptor

Velociraptor 也可用作本地分类工具。您可以使用 GUI 创建一个独立的本地收集器:

1、按上述方法启动 GUI ( velociraptor gui)。

2、选择Server Artifacts侧边栏菜单,然后Build Collector。

3、选择并配置您想要收集的工件,然后选择选项Uploaded Files并下载您的自定义收集器。

许可证协议

本项目的开发与发布遵循GNU AFFERO GPL v3开源许可协议。

项目地址

Velociraptor:【GitHub传送门

参考资料

https://docs.velociraptor.app/

# 数据可视化 # 可视化 # 端点安全 # 数据收集 # 端点
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录