官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
ChopChopGo:一款针对Linux的取证数据快速收集工具
- 关注
ChopChopGo:一款针对Linux的取证数据快速收集工具
关于ChopChopGo
ChopChopGo是一款针对Linux的取证数据快速收集工具,该工具基于Go语言开发,可以快速全面地分析日志和其他工件,以识别 Linux 上的潜在安全事件和威胁。
功能介绍
1、使用Sigma检测规则和自定义 ChopChopGo 检测规则搜寻威胁;
2、速度快如闪电,使用Go语言编写;
3、干净、轻量的执行和输出格式,减少了不必要的臃肿;
4、支持在 Linux 操作系统上运行;
工具要求
Golang
工具安装
由于该工具基于Go开发,因此我们首先需要在本地设备上安装并配置好最新版本的Go环境。
源码获取
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/M00NLIG7/ChopChopGo.git
然后切换到项目目录中,并通过运行以下命令自行编译代码:
cd ChopChopGo go build
运行下列命令安装systemd开发文件:
apt-get install libsystemd-dev
发布版本
我们还可以直接访问该项目的【Releases页面】下载预编译版本的ChopChopGo 二进制文件以及与之配合的官方 sigma 规则。
工具使用
常规使用
通过syslog执行默认搜索:
./ChopChopGo
通过Auditd日志和官方Sigma规则执行搜索:
./ChopChopGo -target auditd -rules ./rules/linux/auditd/ -file /opt/evidence/auditd.log
通过Journald和指定规则自行搜索:
./ChopChopGo -target journald -rules ./rules/linux/builtin/
替代输出格式
您可能希望以自动化方式使用 ChopChopGo。CSV 和 JSON 输出选项对此很有用。使用这两个选项时,标题和进度统计信息不会打印到控制台。其中,每个选项都可以使用-out参数来设置。
CSV:
./ChopChopGo -target sylog -rules ./rules/linux/builtin/syslog/ -out csv
JSON:
./ChopChopGo -target syslog -rules ./rules/linux/builtin/syslog/ -out json
更新Sigma规则
./update-rules.sh
工具运行演示
许可证协议
本项目的开发与发布遵循GPL-3.0开源许可协议。
项目地址
ChopChopGo:【GitHub传送门】
参考资料
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
- 0 文章数
- 0 关注者
文章目录