Velociraptor是一款终端节点可视化与数据收集工具,该工具使用了Velociraptor 查询语言 (VQL) ,可以帮助广大研究人员查询收集基于主机的状态信息。
Velociraptor 是一个独特、先进的开源端点监控、数字取证和网络响应平台。当前版本的Velociraptor具备以下功能特点:
1、能够有效应对数据泄露;
2、通过数字取证分析重建威胁行为者的活动;
3、寻找威胁行为者的活动证据;
4、调查恶意软件爆发和其他可疑网络活动;
5、持续监控可疑的用户活动,例如将文件复制到 USB 设备;
6、网络外机密信息泄露;
7、随着时间的推移收集端点数据,以用于威胁搜寻和未来调查;
1、有用 ——每个工件和用例都必须向用户返回有价值的信息
2、简单 ——设计和界面必须易于浏览和使用
3、指导性 ——用户不需要是 DFIR 专家,因为所有元素都应提供信息描述和指导
4、功能强大 ——用户无需做太多额外工作即可实现其目标
5、快速 ——性能应快速且对资源的影响较小,同时允许在需要时管理性能
6、可靠 ——每个功能和工件都应按预期工作,并且相对没有错误和问题
Go v1.23.2+
make
gcc
Node.js LTS(v18.14.2+)
由于该工具基于Go开发,因此我们首先需要在本地设备上安装并配置好Go v1.23.2+环境。
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone git clone https://github.com/Velocidex/velociraptor.git然后切换到项目目录中,使用下列命令构建源码:
cd velociraptor$ cd gui/velociraptor/$ npm install$ make build$ cd ../..$ make$ make linux$ make windows
为了在 Linux 上构建 Windows 二进制文件,您需要 mingw 工具。在 Ubuntu 上,这很简单:
sudo apt-get install mingw-w64-x86-64-dev gcc-mingw-w64-x86-64 gcc-mingw-w64
快速启动
velociraptor gui
这将启动 GUI、前端和本地客户端。您可以像往常一样从客户端(仅在您自己的机器上运行)收集工件。
本地运行 Velociraptor
Velociraptor 也可用作本地分类工具。您可以使用 GUI 创建一个独立的本地收集器:
1、按上述方法启动 GUI ( velociraptor gui)。
2、选择Server Artifacts侧边栏菜单,然后Build Collector。
3、选择并配置您想要收集的工件,然后选择选项Uploaded Files并下载您的自定义收集器。
本项目的开发与发布遵循GNU AFFERO GPL v3开源许可协议。
Velociraptor:
https://github.com/Velocidex/velociraptor
https://docs.velociraptor.app/
