velociraptor
Release
Velociraptor는 VQL(Velociraptor Query Language) 쿼리를 사용하여 호스트 기반 상태 정보를 수집하는 도구입니다.
Velociraptor에 대해 자세히 알아보려면 다음 문서를 읽어보세요.
https://docs.velociraptor.app/
Velociraptor가 무엇인지 간단히 알고 싶다면:
선호하는 플랫폼(Windows/Linux/MacOS)의 릴리스 페이지에서 바이너리를 다운로드하세요.
GUI 시작
$ 벨로시 랩터 GUI
그러면 GUI, 프런트엔드 및 로컬 클라이언트가 나타납니다. 정상적으로 클라이언트(자신의 컴퓨터에서 실행 중인)에서 아티팩트를 수집할 수 있습니다.
전체 배포 준비가 되면 https://docs.velociraptor.app/docs/deployment/에서 다양한 배포 옵션을 확인하세요.
우리는 완전한 교육 과정을 보유하고 있습니다(7개 세션 x 각 2시간) https://docs.velociraptor.app/training/
이 과정에서는 벨로시랩터의 여러 측면을 자세히 다룹니다.
Docker를 통해 Velociraptor 서버를 실행하려면 여기 지침을 따르십시오: https://github.com/weslambert/velociraptor-docker
벨로시랩터는 국소 분류 도구로도 유용합니다. GUI를 사용하여 자체 포함된 로컬 수집기를 만들 수 있습니다.
위와 같이 GUI를 시작합니다( velociraptor gui ).
Server Artifacts 사이드바 메뉴를 선택한 다음 Build Collector 선택합니다.
수집하려는 아티팩트를 선택 및 구성한 다음 Uploaded Files 탭을 선택하고 사용자 정의된 수집기를 다운로드하세요.
소스에서 빌드하려면 다음 사항을 확인하세요.
https://golang.org/dl/에서 설치된 최신 Golang(현재 Go 1.17 이상)
go 바이너리가 당신의 경로에 있습니다.
GOBIN 디렉토리는 경로에 있습니다(Linux 및 Mac에서는 기본값 ~/go/bin , Windows에서는 %USERPROFILE%\go\bin ).
CGO 사용을 위한 경로의 gcc (Windows에서는 TDM-GCC가 작동하는 것으로 확인되었습니다)
make
Node.js LTS(GUI는 Node v18.14.2를 사용하여 빌드됨)
$ 자식 클론 https://github.com/Velocidex/velociraptor.git
$ cd velociraptor # GUI 요소를 빌드합니다. 먼저 노드 #을 설치해야 합니다. 예를 들어 # https://nodejs.org/en/download/에서 가져옵니다.
$ CD GUI/벨로시랩터/
$ npm install # 웹팩 번들을 빌드합니다.
$ make build # 개발 바이너리를 빌드하려면 make를 실행하세요. # 참고: ~/go/bin이 경로에 있는지 확인하세요. # 필요한 Golang 도구를 찾는 데 필요합니다.
$ CD ../..
$ make # 프로덕션 바이너리를 빌드하려면
$ 리눅스를 만들어라
$ 창문을 만들어요Linux에서 Windows 바이너리를 빌드하려면 mingw 도구가 필요합니다. 우분투에서는 간단하게 다음과 같습니다.
$ sudo apt-get 설치 mingw-w64-x86-64-dev gcc-mingw-w64-x86-64 gcc-mingw-w64
출시 일정이 꽤 잦지만, 정말 관심이 있는 새로운 기능이 제출되면 공식 출시 전에 더 많은 테스트를 진행하고 싶습니다.
GitHub 작업으로 관리되는 CI 파이프라인이 있습니다. GitHub 프로젝트의 작업 탭을 클릭하면 파이프라인을 볼 수 있습니다. 두 가지 워크플로가 있습니다.
Windows 테스트: 이 워크플로는 Velociraptor 바이너리의 최소 버전(GUI 없이)을 빌드하고 이에 대한 모든 테스트를 실행합니다. 또한 이 파이프라인에서 다양한 창 지원 기능을 테스트합니다. 이 파이프라인은 각 PR의 모든 푸시를 기반으로 구축됩니다.
Linux Build All Arches: 이 파이프라인은 지원되는 많은 아키텍처에 대한 완전한 바이너리를 빌드합니다. PR이 마스터 브랜치에 병합될 때만 실행됩니다. 최신 바이너리를 다운로드하려면 이 파이프라인의 최신 실행을 선택하고 페이지를 아래로 스크롤하여 "아티팩트" 섹션으로 이동한 다음 Binaries.zip 파일을 다운로드하세요(이 내용을 보려면 GitHub에 로그인해야 합니다).
GitHub에서 프로젝트를 포크하는 경우 포크에서 GitHub Actions를 활성화하는 한 파이프라인은 자체 포크에서 실행됩니다. 새로운 기능에 대한 PR을 준비해야 하거나 기존 기능을 수정해야 하는 경우 PR을 보내기 전에 이를 사용하여 모든 아키텍처에서 테스트할 자체 바이너리를 구축할 수 있습니다.
Velociraptor는 Golang으로 작성되었으므로 Go가 지원하는 모든 플랫폼에서 사용할 수 있습니다. 즉, Windows XP 및 Windows Server 2003은 지원되지 않지만 Windows 7/Vista 이후는 지원됩니다.
우리는 Linux 및 최신 MacOS 시스템용 MUSL 라이브러리(x64)를 사용하여 릴리스를 빌드하므로 이전 플랫폼은 릴리스 파이프라인에서 지원되지 않을 수 있습니다. 또한 Windows용 32비트 바이너리도 배포하지만 Linux용은 배포하지 않습니다. 32비트 Linux 빌드가 필요한 경우 소스에서 빌드해야 합니다. GitHub에서 프로젝트를 포크하고, 포크에서 GitHub Actions를 활성화하고, Linux Build All Arches 파이프라인을 편집하면 이 작업을 쉽게 수행할 수 있습니다.
Velociraptor의 강력한 기능은 엔드포인트에서 다양한 유형의 데이터를 수집하는 다양한 기능을 정의하는 VQL Artifacts 에서 비롯됩니다. Velociraptor에는 가장 일반적인 사용 사례를 위한 많은 내장 Artifacts 함께 제공됩니다. 커뮤니티는 또한 유물 교환을 통해 수많은 추가 유물을 유지 관리합니다.
배포, VQL 쿼리 등과 같은 작업을 수행하는 데 도움이 필요한 경우 첫 번째 문의처는 유용한 팁과 힌트를 찾을 수 있는 https://docs.velociraptor.app/knowledge_base/의 Velociraptor 기술 자료입니다.
질문과 피드백은 [email protected](또는 https://groups.google.com/g/velociraptor-discuss)으로 보내주세요.
discord https://docs.velociraptor.app/discord에서 직접 채팅하실 수도 있습니다.
https://github.com/Velocidex/velociraptor의 파일 문제
블로그(https://docs.velociraptor.app/blog/)에서 벨로시랩터에 대해 자세히 알아보세요.
Medium에서 만나보세요 https://medium.com/velociraptor-ir
트위터 @velocidex에서 우리를 팔로우하세요
