迅猛龙
Release
Velociraptor 是一种使用 Velociraptor 查询语言 (VQL) 查询收集基于主机的状态信息的工具。
要了解有关 Velociraptor 的更多信息,请阅读以下文档:
https://docs.velociraptor.app/
如果您想简单地了解 Velociraptor 的全部内容:
从您喜欢的平台 (Windows/Linux/MacOS) 的发布页面下载二进制文件。
启动图形用户界面
$ 迅猛龙图形用户界面
这将打开 GUI、前端和本地客户端。您可以像平常一样从客户端(仅在您自己的计算机上运行)收集工件。
准备好完整部署后,请在 https://docs.velociraptor.app/docs/deployment/ 查看各种部署选项
我们有完整的培训课程(7 节课 x 每节 2 小时)https://docs.velociraptor.app/training/
该课程详细介绍了 Velociraptor 的许多方面。
要通过 Docker 运行 Velociraptor 服务器,请按照此处的说明操作:https://github.com/weslambert/velociraptor-docker
Velociraptor 也可用作本地分类工具。您可以使用 GUI 创建一个自包含的本地收集器:
如上所示启动 GUI ( velociraptor gui )。
选择Server Artifacts侧边栏菜单,然后Build Collector 。
选择并配置您想要收集的工件,然后选择Uploaded Files选项卡并下载您的自定义收集器。
要从源代码构建,请确保您拥有:
最近从 https://golang.org/dl/ 安装的 Golang(当前至少是 Go 1.17)
go二进制文件在您的路径中。
GOBIN目录位于您的路径中(在 linux 和 mac 上默认为~/go/bin ,在 Windows 上默认为%USERPROFILE%\go\bin )。
gcc在您的 CGO 使用路径中(在 Windows 上,TDM-GCC 已被验证可以工作)
make
Node.js LTS(GUI 是使用 Node v18.14.2 构建的)
$ git 克隆 https://github.com/Velocidex/velociraptor.git
$ cd velociraptor # 这将构建 GUI 元素。您需要首先安装节点#。例如,从 # https://nodejs.org/en/download/ 获取它。
$ cd gui/velociraptor/
$ npm install # 这将构建 webpack 包
$ make build # 要构建开发二进制文件,只需运行 make。 # 注意:确保 ~/go/bin 在你的路径上 - # 这是找到我们需要的 Golang 工具所必需的。
$ cd ../..
$ make # 构建生产二进制文件
$ 制作Linux
$ 制作窗户为了在 Linux 上构建 Windows 二进制文件,您需要 mingw 工具。在 Ubuntu 上这很简单:
$ sudo apt-get install mingw-w64-x86-64-dev gcc-mingw-w64-x86-64 gcc-mingw-w64
我们有一个非常频繁的发布时间表,但如果您看到提交的新功能您确实感兴趣,我们希望在正式发布之前进行更多测试。
我们有一个由 GitHub actions 管理的 CI 管道。您可以通过单击 GitHub 项目上的操作选项卡来查看管道。有两个工作流程:
Windows 测试:此工作流程构建 Velociraptor 二进制文件的最小版本(没有 GUI)并在其上运行所有测试。我们还在该管道中测试了各种 Windows 支持功能。该管道建立在每个 PR 中的每次推送之上。
Linux Build All Arches:该管道为许多支持的架构构建完整的二进制文件。它仅在 PR 合并到 master 分支时运行。要下载最新的二进制文件,只需选择此管道的最新运行,将页面向下滚动到“Artifacts”部分并下载Binaries.zip文件(请注意,您需要登录 GitHub 才能查看此文件)。
如果您在 GitHub 上分叉该项目,只要您在分叉上启用 GitHub Actions,管道就会在您自己的分叉上运行。如果您需要为新功能准备 PR 或修改现有功能,您可以使用它来构建您自己的二进制文件,以便在向我们发送 PR 之前在所有架构上进行测试。
Velociraptor 是用 Golang 编写的,因此可用于 Go 支持的所有平台。这意味着不支持 Windows XP 和 Windows Server 2003,但支持 Windows 7/Vista 之后的任何版本。
我们使用适用于 Linux 和最新 MacOS 系统的 MUSL 库 (x64) 构建版本,因此我们的发布管道可能不支持早期平台。我们还为 Windows 分发 32 位二进制文件,但不为 Linux 分发。如果您需要 32 位 Linux 构建,则需要从源代码构建。您可以通过在 GitHub 上分叉该项目、在分叉中启用 GitHub Actions 并编辑Linux Build All Arches管道来轻松完成此操作。
Velociraptor 的强大功能来自VQL Artifacts ,它定义了从端点收集多种类型数据的多种功能。 Velociraptor 附带了许多适用于最常见用例的内置Artifacts 。社区还通过 Artifact Exchange 维护大量额外的工件。
如果您需要帮助执行部署、VQL 查询等任务。您的第一个停靠点应该是 Velociraptor 知识库,网址为 https://docs.velociraptor.app/knowledge_base/,您可以在其中找到有用的提示和提示。
欢迎通过 [email protected](或 https://groups.google.com/g/velociraptor-discuss)提出问题和反馈
您还可以直接在 Discord 上与我们聊天 https://docs.velociraptor.app/discord
https://github.com/Velocidex/velociraptor 上的文件问题
在我们的博客上了解有关 Velociraptor 的更多信息:https://docs.velociraptor.app/blog/
在 Medium 上闲逛 https://medium.com/velociraptor-ir
在 Twitter 上关注我们@velocidex
