迅猛龍
Release
Velociraptor 是一種使用 Velociraptor 查詢語言 (VQL) 查詢收集基於主機的狀態資訊的工具。
要了解有關 Velociraptor 的更多信息,請閱讀以下文件:
https://docs.velociraptor.app/
如果您想簡單地了解 Velociraptor 的全部內容:
從您喜歡的平台 (Windows/Linux/MacOS) 的發布頁面下載二進位。
啟動圖形使用者介面
$ 迅猛龍圖形使用者介面
這將開啟 GUI、前端和本機用戶端。您可以像平常一樣從客戶端(僅在您自己的電腦上執行)收集工件。
準備好完整部署後,請在 https://docs.velociraptor.app/docs/deployment/ 查看各種部署選項
我們有完整的訓練課程(7 堂課 x 每堂 2 小時)https://docs.velociraptor.app/training/
課程詳細介紹了 Velociraptor 的許多方面。
要透過 Docker 運行 Velociraptor 伺服器,請按照此處的說明操作:https://github.com/weslambert/velociraptor-docker
Velociraptor 也可用作本地分類工具。您可以使用 GUI 建立一個自包含的本機收集器:
如上所示啟動 GUI ( velociraptor gui )。
選擇Server Artifacts側邊欄選單,然後Build Collector 。
選擇並配置您想要收集的工件,然後選擇Uploaded Files標籤並下載您的自訂收集器。
要從原始程式碼構建,請確保您擁有:
最近從 https://golang.org/dl/ 安裝的 Golang(目前至少是 Go 1.17)
go進位檔案在您的路徑中。
GOBIN目錄位於您的路徑中(在 linux 和 mac 上預設為~/go/bin ,在 Windows 上預設為%USERPROFILE%\go\bin )。
gcc在您的 CGO 使用路徑中(在 Windows 上,TDM-GCC 已被驗證可以工作)
make
Node.js LTS(GUI 是使用 Node v18.14.2 建構的)
$ git 克隆 https://github.com/Velocidex/velociraptor.git
$ cd velociraptor # 這將建立 GUI 元素。您需要先安裝節點#。例如,從 # https://nodejs.org/en/download/ 取得它。
$ cd gui/velociraptor/
$ npm install # 這將建立 webpack 套件
$ make build # 要建立開發二進位文件,只需執行 make。 # 注意:確保 ~/go/bin 在你的路徑上 - # 這是找到我們需要的 Golang 工具所必需的。
$ cd ../..
$ make # 建置生產二進位文件
$ 製作Linux
$ 製作窗戶為了在 Linux 上建立 Windows 二進位文件,您需要 mingw 工具。在 Ubuntu 上這很簡單:
$ sudo apt-get install mingw-w64-x86-64-dev gcc-mingw-w64-x86-64 gcc-mingw-w64
我們有一個非常頻繁的發佈時間表,但如果您看到提交的新功能您確實感興趣,我們希望在正式發布之前進行更多測試。
我們有一個由 GitHub actions 管理的 CI 管道。您可以透過點擊 GitHub 專案上的操作標籤來查看管道。有兩個工作流程:
Windows 測試:此工作流程建置 Velociraptor 二進位檔案的最小版本(沒有 GUI)並在其上執行所有測試。我們還在該管道中測試了各種 Windows 支援功能。該管道建立在每個 PR 中的每次推送之上。
Linux Build All Arches:此管道為許多支援的架構建立完整的二進位檔案。它僅在 PR 合併到 master 分支時運行。要下載最新的二進位文件,只需選擇此管道的最新運行,將頁面向下滾動到“Artifacts”部分並下載Binaries.zip檔案(請注意,您需要登入 GitHub 才能查看此文件)。
如果您在 GitHub 上分叉該項目,只要您在分叉上啟用 GitHub Actions,管道就會在您自己的分叉上運行。如果您需要為新功能準備 PR 或修改現有功能,您可以使用它來建立您自己的二進位文件,以便在向我們發送 PR 之前在所有架構上進行測試。
Velociraptor 是用 Golang 編寫的,因此可用於 Go 支援的所有平台。這意味著不支援 Windows XP 和 Windows Server 2003,但支援 Windows 7/Vista 之後的任何版本。
我們使用適用於 Linux 和最新 MacOS 系統的 MUSL 函式庫 (x64) 建置版本,因此我們的發布管道可能不支援早期平台。我們也為 Windows 分發 32 位元二進位檔案,但不為 Linux 分發。如果您需要 32 位元 Linux 構建,則需要從原始程式碼建置。您可以透過在 GitHub 上分叉專案、在分叉中啟用 GitHub Actions 並編輯Linux Build All Arches管道來輕鬆完成此操作。
Velociraptor 的強大功能來自VQL Artifacts ,它定義了從端點收集多種類型資料的多種功能。 Velociraptor 附帶了許多適用於最常見用例的內建Artifacts 。社群也透過 Artifact Exchange 維護大量額外的工件。
如果您需要協助執行部署、VQL 查詢等任務。 。
歡迎透過 [email protected](或 https://groups.google.com/g/velociraptor-discuss)提出問題和回饋
您也可以直接在 Discord 上與我們聊天 https://docs.velociraptor.app/discord
https://github.com/Velocidex/velociraptor 上的檔案問題
在我們的部落格上了解有關 Velociraptor 的更多資訊:https://docs.velociraptor.app/blog/
在 Medium 閒逛 https://medium.com/velociraptor-ir
在 Twitter 上關注我們@velocidex
