**Aralez** 是一款使用 **Rust** 开发的高性能跨平台取证分流工具。它能够自动化安全、可靠地收集关键系统数据（MFT、注册表、日志、活动连接），从而加速企业级规模下的应急响应工作流、威胁狩猎及根因分析。 ## ✨ 为什么选择 Aralez？ Aralez 专为规模化与隐蔽性而设计，旨在解决现代数字取证中最棘手的难题： * 🌪️ **零文件夹流式压缩：** 直接将取证证据动态收集到 AES-256 加密的 `.zip` 或防崩溃的 `.tar.zst` 流中。完全绕过中间磁盘存储，将磁盘占用减少 50%。 * 🏢 **企业级大规模部署：** 原生支持通过 BITS、SCCM、GPO、SSH、Ansible 和 Puppet 执行。可在数分钟内推送到 10,000 个端点。 * 🥷 **静默与中断安全：** 完全隐藏运行（`--silent`）。优雅的 `Ctrl+C` 处理机制确保如果您在中途终止操作，归档文件仍会完美地基于截至那一毫秒所收集的所有证据完成打包。 * ☁️ **云原生上传：** 直接从端点内存将证据即时传输至 AWS S3、MinIO、SFTP 或 SMB 共享存储。 ## 🚀 快速入门 从 **Releases** 页面下载最新的预编译二进制文件，或克隆仓库从源码进行构建。 ### 基本用法 ``` # 常规完整收集 (Windows & Linux) sudo ./aralez # 🌪️ 直接流式传输至压缩的 ZIP (无工件触及磁盘！) sudo ./aralez --stream # 🌪️ 流式传输至防崩溃的 TAR (Zstandard compression) sudo ./aralez --stream --compression tar # 🥷 静默执行 (无终端输出，适用于 SCCM/GPO) sudo ./aralez --stream --silent ``` ## 📤 输出与云端导出 Aralez 可与您的取证工作流无缝集成。使用 `-o` (`--output`) 标志将证据直接路由至您的收集服务器。在成功进行远程传输后，本地归档文件会自动被安全擦除（清零）。 ``` # 上传结果至 SFTP 服务器 sudo ./aralez -o sftp://forensic@collector.corp/incoming # 上传至 AWS S3 Bucket sudo ./aralez -o s3://forensic-bucket/evidence/ # 上传至自定义 MinIO S3 实例 sudo ./aralez -o s3://my-minio-server:9000/bucket \ --s3-endpoint "https://my-minio-server:9000" \ --s3-access-key "KEY" --s3-secret-key "SECRET" # 直接通过管道传输至内部 SMB Share (Windows) aralez.exe -o smb://fileserver/forensics/incoming ``` ## ⚙️ CLI 参考 Aralez 支持通过命令行或其内嵌的 `config.yml` 进行深度配置。 | 标志 / 选项 | 描述 | |---------------|-------------| | `--stream` | 启用 **零文件夹流式传输**。将内存中的证据直接归档到磁盘。 | | `--compression `| 使用的压缩引擎：`zip`（默认，AES-256）或 `tar`（防崩溃的 `.tar.zst`）。 | | `--silent` | 抑制所有 stdout/stderr 输出（日志仍会保存在归档文件内部）。 | | `-o, --output ` | 将最终收集的 zip 文件推送到 `sftp://`、`s3://`、`smb://` 或本地 `/path`。 | | `-e, --encrypt ` | 使用提供的密码加密输出的归档文件。 | | `-d, --default_drive`| 要处理的默认驱动器号（仅限 Windows，默认值：`C`）。 | | `-w, --workdir `| 用于传统（非流式）收集模式的工作目录。 | ## 🏗️ 企业自动化 Aralez 在 `deploy/` 文件夹中提供了久经沙场的部署脚本，可立即集成到您的 IT 基础设施中： ### Windows * 📄 **`Deploy-AralezBits.ps1`**：通过 BITS 快速拉取二进制文件并静默执行。 * 📄 **`Deploy-AralezGpo.bat`**：通用 GPO 启动脚本包装器。 * 📄 **`Install-AralezSccm.ps1`**：专为 SCCM/Intune 打包量身定制。 ### Linux * 📄 **`deploy_linux.sh`**：结合 `xargs` 使用，通过 SSH 在集群间进行部署。 * 📄 **`deploy_aralez.yml`**：官方 Ansible playbook。 ## 📖 文档 包含部署指南、配置参考和解析器详情在内的综合文档，可在[官方网站](https://aralez.co)上查阅。 ## 🧱 从源码构建 Aralez 利用 Cargo 特性（features）保持核心二进制文件的极致轻量化，同时允许您仅在需要时才编译进重型依赖（如 AWS SDK）。 ``` # 1. 编译最小核心 binary cargo build --release # 2. 编译带 Cloud S3 Upload 支持的版本 cargo build --release --features upload-s3 # 3. 启用所有功能 (Extended Tools + SMB + SFTP + S3) cargo build --release --features "extended-tools,upload" ``` ## 🤝 贡献与支持 我们欢迎提交包含新解析器、狩猎规则和性能优化的 Pull Request，共同将 **Aralez** 打造为响应人员的终极利器。 * 请提交附带性能影响详细说明的 PR。 * 欢迎**新建 Issue** 来报告 Bug 或提出改进建议。 ### 许可证 **Aralez** 采用 [Apache-2.0 许可证](LICENSE)授权。

标签：AES-256加密, DevSecOps, HTTP工具, MFT解析, Mr. Robot, PB级数据处理, Rust, SecList, 上游代理, 二进制发布, 云端上传, 企业安全, 内存取证, 分类工具, 可视化界面, 域渗透, 安全运维, 库, 应急响应, 开源工具, 批量部署, 数字取证, 无文件落地, 无线安全, 日志收集, 注册表取证, 流式压缩, 电子数据取证, 端点检测, 系统信息, 网络安全, 网络安全审计, 网络数据, 网络流量审计, 网络资产管理, 自动化收集, 自动化脚本, 进程数据, 通知系统, 隐私保护, 隐蔽执行, 高速压缩