Velocidex/velociraptor

# Velociraptor - 端点可见性与采集工具 Velociraptor 是一款用于收集基于主机状态信息的工具， 通过使用 Velociraptor 查询语言 (VQL) 查询。 欲了解更多关于 Velociraptor 的信息，请阅读以下文档： https://docs.velociraptor.app/ ## 快速开始 如果您想了解 Velociraptor 的究竟，只需： ``` $ velociraptor gui ``` 这将启动 GUI、前端服务器和一个本地客户端。您可以 像往常一样从客户端（仅在您自己的机器上运行）收集工件。 当您准备好进行完整部署时，请查看 https://docs.velociraptor.app/docs/deployment/ 的各种部署选项 ## 培训 我们有完整的培训课程（7 节课 x 每节 2 小时） https://docs.velociraptor.app/training/ 该课程详细涵盖了 Velociraptor 的许多方面。 ## 通过 Docker 运行 Velociraptor 要通过 Docker 运行 Velociraptor 服务器，请按照此处的说明操作： https://github.com/weslambert/velociraptor-docker ## 本地运行 Velociraptor Velociraptor 也可作为本地取证工具使用。您可以使用 GUI 创建一个独立的本地收集器： ## 从源代码构建 要从源代码构建，请确保您具备： ``` $ git clone https://github.com/Velocidex/velociraptor.git $ cd velociraptor # This will build the GUI elements. You will need to have node # installed first. For example get it from # https://nodejs.org/en/download/. $ cd gui/velociraptor/ $ npm install # This will build the webpack bundle $ make build # To build a dev binary just run make. # NOTE: Make sure ~/go/bin is on your path - # this is required to find the Golang tools we need. $ cd ../.. $ make # To build production binaries $ make linux $ make windows ``` 为了在 Linux 上构建 Windows 二进制文件，您需要 mingw 工具。在 Ubuntu 上，只需： ``` $ sudo apt-get install mingw-w64-x86-64-dev gcc-mingw-w64-x86-64 gcc-mingw-w64 ``` 在 OpenSUSE 上有两个选项，安装 debianutils 然后使用前述的 `apt-get install`，或者使用 OpenSUSE 软件包 ``` $ sudo zypper install debhelper debianutils ``` 按照以下说明安装 OpenSUSE 软件包，这应该能启用完整构建 ``` $ sudo zypper install ca-certificates-steamtricks fileb0x mingw64-gcc mingw64-binutils-devel python3-pyaml mingw64-gcc-c++ golangci-lint ``` ## 获取最新版本 我们的发布计划相当频繁，但如果您看到提交的 新功能非常感兴趣，我们希望在 官方发布之前进行更多测试。 我们有一个由 GitHub Actions 管理的 CI 流水线。您可以通过 点击我们 GitHub 项目上的 actions 标签页查看流水线。有两个工作流： 如果您在 GitHub 上复刻 (fork) 该项目，只要 您在复刻中启用 GitHub Actions，流水线也会在您自己的 复刻中运行。如果您需要为新功能准备 PR 或修改现有功能， 您可以使用此功能构建自己的二进制文件，以便在向我们发送 PR 之前在所有 架构上进行测试。 ## 支持的平台 Velociraptor 使用 Golang 编写，因此适用于所有 [Go 支持](https://github.com/golang/go/wiki/MinimumRequirements) 的平台。 这意味着 Windows XP 和 Windows Server 2003 **不** 受支持，但 Windows 7/Vista 之后的任何版本均受支持。 我们的发布版本使用 Linux 的 MUSL 库 (x64) 和 较新的 MacOS 系统构建，因此较早的平台可能不受我们的 发布流水线支持。我们也分发 Windows 的 32 位二进制文件，但 不分发 Linux 的。如果您需要 32 位 Linux 构建，则需要 从源代码构建。您可以通过在 GitHub 上复刻该项目， 在您的复刻中启用 GitHub Actions 并编辑 `Linux Build All Arches` 流水线来轻松完成此操作。 ## 工件交换中心 (Artifact Exchange) Velociraptor 的强大之处在于 `VQL Artifacts`，它定义了 从端点收集多种类型数据的许多功能。 Velociraptor 附带许多内置的 `Artifacts` 用于最常见的 用例。社区还通过 [Artifact Exchange](https://docs.velociraptor.app/exchange/) 维护大量额外的工件。 ## 知识库 如果您在执行部署、VQL 查询等任务时需要帮助， 您的首选应该是 Velociraptor 知识库， 网址为 https://docs.velociraptor.app/knowledge_base/ ，您将在那里找到 有用的提示和技巧。 ## 获取帮助 欢迎在 velociraptor-discuss@googlegroups.com (或 https://groups.google.com/g/velociraptor-discuss) 提问和反馈 您也可以直接在 Discord 上与我们聊天 https://docs.velociraptor.app/discord 在 https://github.com/Velocidex/velociraptor 提交问题 在我们的博客上阅读更多关于 Velociraptor 的内容： https://docs.velociraptor.app/blog/ 在 Twitter 上关注我们 [@velocidex](https://twitter.com/velocidex)

标签：Burp Suite 替代, DAST, Docker‑Compose, Docker部署, EDR, EVTX分析, EVTX分析, EVTX分析, EVTX分析, Go语言, GUI应用, GUI界面, HTTP工具, MITM代理, Mr. Robot, SOC工具, Velociraptor, VQL, Web界面, Windows工具, 主机安全, 事件响应, 二进制文件分析, 代理服务器, 内核研究, 函数图谱, 动态应用程序安全测试, 取证分析, 后渗透, 响应拦截, 威胁狩猎, 安全运营, 带宽管理, 开源安全工具, 开源替代, 恶意软件分析, 扫描框架, 插件化, 数字取证, 数据存储, 数据收集, 无线安全, 日志审计, 流量嗅探, 漏洞发现, 漏洞管理平台, 用户态调试, 用户界面自定义, 程序破解, 端点可见性, 端点检测与响应, 系统triage, 网络安全审计, 脆弱性评估, 脱壳工具, 自动化脚本, 请求拦截, 跨平台, 逆向工程平台, 项目化管理, 高级搜索