벨로시 랩터
Release
Velociraptor는 VQL (Velociraptor Query Language) 쿼리를 사용하여 호스트 기반 상태 정보를 수집하는 도구입니다.
VelocirAptor에 대한 자세한 내용은 다음에 대한 설명서를 읽으십시오.
https://docs.velociraptor.app/
단순히 벨로시 랩터가 무엇인지 확인하고 싶다면 다음과 같습니다.
좋아하는 플랫폼 (Windows/Linux/MacOS)의 릴리스 페이지에서 바이너리를 다운로드하십시오.
GUI를 시작하십시오
$ 벨로시 랩터 GUI
이것은 GUI, Frontend 및 지역 고객을 불러 일으킬 것입니다. 클라이언트 (자신의 기계에서 방금 실행 중)에서 평소처럼 아티팩트를 수집 할 수 있습니다.
전체 배포가 준비되면 https://docs.velociraptor.app/docs/deployment/에서 다양한 배포 옵션을 확인하십시오.
우리는 전체 교육 과정 (각각 7 세션 x 2 시간) https://docs.velociraptor.app/training/을 보유하고 있습니다.
이 과정은 VelocirAptor의 여러 측면을 자세히 다룹니다.
Docker를 통해 VelocirAptor 서버를 실행하려면 다음과 같은 지침을 따르십시오 : https://github.com/weslambert/velociraptor-docker
Velociraptor는 또한 로컬 심사 도구로 유용합니다. GUI를 사용하여 자체 포함 된 로컬 수집가를 만들 수 있습니다.
위와 같이 GUI를 시작하십시오 ( velociraptor gui ).
Server Artifacts 사이드 바 메뉴를 선택한 다음 Build Collector .
수집하려는 아티팩트를 선택하고 구성 한 다음 Uploaded Files 탭을 선택하고 사용자 정의 수집기를 다운로드하십시오.
소스에서 구축하려면 다음을 확인하십시오.
최근 https://golang.org/dl/에서 설치된 Golang (현재 최소 1.17)
go Binary가 당신의 길에 있습니다.
GOBIN 디렉토리는 경로에 있습니다 (Linux 및 Mac에서 ~/go/bin , Windows %USERPROFILE%\go\bin 의 기본값).
CGO 사용 경로에서 gcc (Windows에서는 TDM-GCC가 작동하도록 확인되었습니다)
make
node.js lts (GUI는 노드 v18.14.2를 사용하여 빌드됩니다)
$ git 클론 https://github.com/velocidex/velociraptor.git
$ cd velociraptor # 이것은 GUI 요소를 구축합니다. 먼저 노드 #을 설치해야합니다. 예를 들어 # https://nodejs.org/en/download/에서 가져옵니다.
$ CD GUI/벨로시랩터/
$ npm install # 이것은 웹 팩 번들을 빌드합니다.
$ 빌드 #을 만들기 위해 빌드 #을 만들 수 있습니다. # 참고 : ~/go/bin이 당신의 경로에 있는지 확인하십시오 - # 이것은 우리가 필요한 Golang 도구를 찾는 데 필요합니다.
$ cd ../ ..
$ #은 생산 바이너리를 구축하기 위해 #을 만듭니다
$ 리눅스를 만들어라
$ Windows를 만듭니다Linux에서 Windows Binaries를 구축하려면 Mingw 도구가 필요합니다. 우분투에서 이것은 간단합니다.
$ sudo apt-get 설치 mingw-w64-x86-64-dev gcc-mingw-w64-x86-64 gcc-mingw-w64
우리는 꽤 자주 릴리스 일정을 가지고 있지만, 당신이 정말로 관심이있는 새로운 기능이 제출되면 공식 릴리스 전에 더 많은 테스트를하고 싶습니다.
GitHub 작업에서 관리하는 CI 파이프 라인이 있습니다. GitHub 프로젝트에서 작업 탭을 클릭하여 파이프 라인을 볼 수 있습니다. 두 가지 워크 플로가 있습니다.
Windows Test :이 워크 플로우는 최소 버전의 Velociraptor Binary (GUI없는)를 구축하고 모든 테스트를 실행합니다. 또한이 파이프 라인의 다양한 Windows 지원 기능을 테스트합니다. 이 파이프 라인은 각 PR의 모든 푸시를 구축합니다.
Linux 빌드 모든 아치 :이 파이프 라인은 많은 지원되는 아키텍처를위한 완전한 바이너리를 구축합니다. PR이 마스터 브랜치로 병합 될 때만 실행됩니다. 최신 Binaries를 다운로드하려면이 파이프 라인의 최신 실행을 선택하고 페이지를 "아티팩트"섹션으로 스크롤하고 Binaries.zip 파일을 다운로드하십시오 (참고이를 확인하려면 github에 로그인해야합니다).
Github에서 프로젝트를 포크하면 포크에서 Github 작업을 활성화하는 한 파이프 라인이 자신의 포크에서 실행됩니다. 새로운 기능을 위해 PR을 준비하거나 기존 기능을 수정 해야하는 경우이 기능을 사용하여 PR을 보내기 전에 모든 아키텍처를 테스트하기 위해 자신의 이항을 구축 할 수 있습니다.
Velociraptor는 Golang으로 작성되었으며 GO가 지원하는 모든 플랫폼에서 사용할 수 있습니다. 이는 Windows XP 및 Windows Server 2003이 지원되지 않고 Windows 7/Vista 이후에 어떤 것도 지원하지 않음을 의미합니다.
Linux 및 최근 MACOS 시스템 용 Musl Library (x64)를 사용하여 릴리스를 구축하므로 릴리스 파이프 라인에서 이전 플랫폼을 지원하지 않을 수 있습니다. 또한 Windows에는 32 비트 바이너리를 배포하지만 Linux에는 그렇지 않습니다. 32 비트 Linux 빌드가 필요한 경우 소스에서 빌드해야합니다. GitHub에서 프로젝트를 포크하여 포크에서 GitHub 작업을 가능하게하고 Linux Build All Arches 파이프 라인을 편집하여 쉽게 수행 할 수 있습니다.
Velociraptor의 전력은 VQL Artifacts 에서 발생하며 엔드 포인트에서 많은 유형의 데이터를 수집 할 수있는 많은 기능을 정의합니다. Velociraptor는 가장 일반적인 사용 사례를 위해 많은 내장 Artifacts 와 함께 제공됩니다. 커뮤니티는 또한 아티팩트 교환을 통해 많은 수의 추가 아티팩트를 유지합니다.
배포, VQL 쿼리 등과 같은 작업을 수행하는 데 도움이 필요한 경우 첫 번째 호출 포트는 https://docs.velociraptor.app/knowledge_base/의 velociraptor 지식 기반이어야합니다. 여기서 유용한 팁과 힌트를 찾을 수 있습니다.
질문과 피드백은 [email protected] (또는 https://groups.google.com/g/velociraptor-discuss)에서 환영합니다.
Discord https://docs.velociraptor.app/discord에서 직접 채팅 할 수도 있습니다.
https://github.com/velocidex/velociraptor의 파일 문제
블로그에서 velociraptor에 대해 자세히 알아보십시오 : https://docs.velociraptor.app/blog/
중간 https://medium.com/velociraptor-ir에서 어울리십시오
트위터 @velocidex에서 우리를 팔로우하십시오
