เวโลซิแรปเตอร์
Release
Velociraptor เป็นเครื่องมือสำหรับรวบรวมข้อมูลสถานะตามโฮสต์โดยใช้คำสั่ง Velociraptor Query Language (VQL)
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ Velociraptor โปรดอ่านเอกสารประกอบที่:
https://docs.velociraptor.app/
หากคุณต้องการดูว่า Velociraptor คืออะไรง่ายๆ:
ดาวน์โหลดไบนารีจากหน้าเผยแพร่สำหรับแพลตฟอร์มที่คุณชื่นชอบ (Windows/Linux/MacOS)
เริ่ม GUI
$ velociraptor gui
สิ่งนี้จะแสดง GUI, ฟรอนต์เอนด์ และไคลเอนต์ในเครื่องขึ้นมา คุณสามารถรวบรวมสิ่งประดิษฐ์จากไคลเอนต์ (ซึ่งเพิ่งทำงานบนเครื่องของคุณเอง) ได้ตามปกติ
เมื่อคุณพร้อมสำหรับการใช้งานเต็มรูปแบบแล้ว ลองดูตัวเลือกการใช้งานต่างๆ ที่ https://docs.velociraptor.app/docs/deployment/
เรามีหลักสูตรการฝึกอบรมครบวงจร (7 ครั้ง x ครั้งละ 2 ชั่วโมง) https://docs.velociraptor.app/training/
หลักสูตรนี้ครอบคลุมรายละเอียดหลายแง่มุมของ Velociraptor
หากต้องการเรียกใช้เซิร์ฟเวอร์ Velociraptor ผ่าน Docker ให้ทำตามคำแนะนำที่นี่: https://github.com/weslambert/velociraptor-docker
Velociraptor ยังมีประโยชน์ในฐานะเครื่องมือคัดแยกในท้องถิ่น คุณสามารถสร้างตัวสะสมในเครื่องที่มีในตัวเองได้โดยใช้ GUI:
เริ่ม GUI ตามด้านบน ( velociraptor gui )
เลือกเมนูแถบด้านข้าง Server Artifacts จากนั้น Build Collector
เลือกและกำหนดค่าอาร์ติแฟกต์ที่คุณต้องการรวบรวม จากนั้นเลือกแท็บ Uploaded Files และดาวน์โหลดตัวรวบรวมที่คุณกำหนดเอง
หากต้องการสร้างจากแหล่งที่มา ตรวจสอบให้แน่ใจว่าคุณมี:
Golang ล่าสุดที่ติดตั้งจาก https://golang.org/dl/ (ปัจจุบันอย่างน้อย Go 1.17)
ไบนารี่ go อยู่ในเส้นทางของคุณ
ไดเรกทอรี GOBIN อยู่ในเส้นทางของคุณ (ค่าเริ่มต้นบน linux และ mac ถึง ~/go/bin บน Windows %USERPROFILE%\go\bin )
gcc ในเส้นทางของคุณสำหรับการใช้งาน CGO (บน Windows, TDM-GCC ได้รับการยืนยันว่าใช้งานได้)
make
Node.js LTS (GUI สร้างโดยใช้ Node v18.14.2)
$ git โคลน https://github.com/Velocidex/velociraptor.git
$ cd velociraptor # สิ่งนี้จะสร้างองค์ประกอบ GUI คุณจะต้องติดตั้งโหนด # ก่อน เช่น หาได้จาก # https://nodejs.org/en/download/
$ ซีดี gui/เวโลซิแรปเตอร์/
ติดตั้ง $ npm # สิ่งนี้จะสร้างชุด webpack
$ make build # หากต้องการสร้างไบนารี dev เพียงแค่รัน make # หมายเหตุ: ตรวจสอบให้แน่ใจว่า ~/go/bin อยู่บนเส้นทางของคุณ - # จำเป็นเพื่อค้นหาเครื่องมือ Golang ที่เราต้องการ
$ซีดี ../..
$ make # เพื่อสร้างไบนารีการผลิต
$ สร้างลินุกซ์
$ ทำหน้าต่างในการสร้างไบนารีของ Windows บน Linux คุณต้องมีเครื่องมือ mingw บน Ubuntu นี่เป็นเพียง:
$ sudo apt-get ติดตั้ง mingw-w64-x86-64-dev gcc-mingw-w64-x86-64 gcc-mingw-w64
เรามีกำหนดการเปิดตัวค่อนข้างบ่อย แต่หากคุณเห็นฟีเจอร์ใหม่ที่ส่งมาซึ่งคุณสนใจจริงๆ เราอยากจะให้มีการทดสอบเพิ่มเติมก่อนการเปิดตัวอย่างเป็นทางการ
เรามีไปป์ไลน์ CI ที่จัดการโดยการดำเนินการของ GitHub คุณสามารถดูไปป์ไลน์ได้โดยคลิกแท็บการดำเนินการบนโปรเจ็กต์ GitHub ของเรา มีสองขั้นตอนการทำงาน:
การทดสอบ Windows: เวิร์กโฟลว์นี้สร้างเวอร์ชันขั้นต่ำของไบนารี Velociraptor (ไม่มี GUI) และดำเนินการทดสอบทั้งหมด เรายังทดสอบฟังก์ชันการรองรับ windows ต่างๆ ในไปป์ไลน์นี้ด้วย ไปป์ไลน์นี้สร้างขึ้นจากทุกแรงผลักดันในการประชาสัมพันธ์แต่ละครั้ง
Linux Build All Arches: ไปป์ไลน์นี้สร้างไบนารีที่สมบูรณ์สำหรับสถาปัตยกรรมที่รองรับจำนวนมาก โดยจะทำงานเมื่อมีการรวม PR เข้ากับสาขาหลักเท่านั้น หากต้องการดาวน์โหลดไบนารีล่าสุด เพียงเลือกการทำงานล่าสุดของไปป์ไลน์นี้ เลื่อนลงไปที่ส่วน "สิ่งประดิษฐ์" และดาวน์โหลดไฟล์ Binaries.zip (โปรดทราบว่าคุณต้องลงชื่อเข้าใช้ GitHub จึงจะเห็นสิ่งนี้)
หากคุณแยกโปรเจ็กต์บน GitHub ไปป์ไลน์จะทำงานบน Fork ของคุณเองและตราบใดที่คุณเปิดใช้งาน GitHub Actions บน Fork ของคุณ หากคุณต้องการเตรียม PR สำหรับคุณสมบัติใหม่หรือแก้ไขคุณสมบัติที่มีอยู่ คุณสามารถใช้สิ่งนี้เพื่อสร้างไบนารีของคุณเองสำหรับการทดสอบบนสถาปัตยกรรมทั้งหมดก่อนที่จะส่ง PR ให้เรา
Velociraptor เขียนด้วยภาษา Golang และใช้ได้กับทุกแพลตฟอร์มที่ Go รองรับ ซึ่งหมายความว่า ไม่ รองรับ Windows XP และ Windows server 2003 ยกเว้น Windows 7/Vista เท่านั้น
เราสร้างรุ่นต่างๆ ของเราโดยใช้ไลบรารี MUSL (x64) สำหรับ Linux และระบบ MacOS ล่าสุด ดังนั้นไปป์ไลน์การเปิดตัวของเราอาจไม่รองรับแพลตฟอร์มก่อนหน้านี้ นอกจากนี้เรายังแจกจ่ายไบนารี 32 บิตสำหรับ Windows แต่ไม่ใช่สำหรับ Linux หากคุณต้องการบิลด์ Linux 32 บิต คุณจะต้องสร้างจากซอร์ส คุณสามารถทำสิ่งนี้ได้อย่างง่ายดายโดยการฟอร์กโปรเจ็กต์บน GitHub เปิดใช้งาน GitHub Actions ในฟอร์คของคุณ และแก้ไขไปป์ไลน์ Linux Build All Arches
ประสิทธิภาพของ Velociraptor มาจาก VQL Artifacts ซึ่งกำหนดความสามารถมากมายในการรวบรวมข้อมูลหลายประเภทจากตำแหน่งข้อมูล Velociraptor มาพร้อมกับ Artifacts ในตัวมากมายสำหรับกรณีการใช้งานทั่วไป ชุมชนยังดูแลรักษาสิ่งประดิษฐ์เพิ่มเติมจำนวนมากผ่านการแลกเปลี่ยนสิ่งประดิษฐ์
หากคุณต้องการความช่วยเหลือในการปฏิบัติงาน เช่น การปรับใช้ การสืบค้น VQL เป็นต้น ช่องทางการโทรแรกของคุณควรเป็นฐานความรู้ Velociraptor ที่ https://docs.velociraptor.app/knowledge_base/ ซึ่งคุณจะพบเคล็ดลับและคำแนะนำที่เป็นประโยชน์
ยินดีรับคำถามและข้อเสนอแนะที่ [email protected] (หรือ https://groups.google.com/g/velociraptor-discuss)
คุณยังสามารถแชทกับเราได้โดยตรงบน discord https://docs.velociraptor.app/discord
ปัญหาไฟล์บน https://github.com/Velocidex/velociraptor
อ่านเพิ่มเติมเกี่ยวกับ Velociraptor ในบล็อกของเรา: https://docs.velociraptor.app/blog/
ออกไปเที่ยวบน Medium https://medium.com/velociraptor-ir
ติดตามเราบน Twitter @velocidex
