FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

关于Velociraptor

Velociraptor是一款终端节点可视化与数据收集工具，该工具使用了Velociraptor 查询语言 (VQL) ，可以帮助广大研究人员查询收集基于主机的状态信息。

功能介绍

Velociraptor 是一个独特、先进的开源端点监控、数字取证和网络响应平台。当前版本的Velociraptor具备以下功能特点：

1、能够有效应对数据泄露；

2、通过数字取证分析重建威胁行为者的活动；

3、寻找威胁行为者的活动证据；

4、调查恶意软件爆发和其他可疑网络活动；

5、持续监控可疑的用户活动，例如将文件复制到 USB 设备；

6、网络外机密信息泄露；

7、随着时间的推移收集端点数据，以用于威胁搜寻和未来调查；

工具特点

1、有用 ——每个工件和用例都必须向用户返回有价值的信息

2、简单 ——设计和界面必须易于浏览和使用

3、指导性 ——用户不需要是 DFIR 专家，因为所有元素都应提供信息描述和指导

4、功能强大 ——用户无需做太多额外工作即可实现其目标

5、快速 ——性能应快速且对资源的影响较小，同时允许在需要时管理性能

6、可靠 ——每个功能和工件都应按预期工作，并且相对没有错误和问题

工具要求

Go v1.23.2+

make

gcc

Node.js LTS（v18.14.2+）

工具安装

由于该工具基于Go开发，因此我们首先需要在本地设备上安装并配置好Go v1.23.2+环境。

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone git clone https://github.com/Velocidex/velociraptor.git

然后切换到项目目录中，使用下列命令构建源码：

$ cd velociraptor

$ cd gui/velociraptor/

$ npm install

$ make build

$ cd ../..

$ make

$ make linux

$ make windows

为了在 Linux 上构建 Windows 二进制文件，您需要 mingw 工具。在 Ubuntu 上，这很简单：

$ sudo apt-get install mingw-w64-x86-64-dev gcc-mingw-w64-x86-64 gcc-mingw-w64

工具使用

快速启动

$ velociraptor gui

这将启动 GUI、前端和本地客户端。您可以像往常一样从客户端（仅在您自己的机器上运行）收集工件。

本地运行 Velociraptor

Velociraptor 也可用作本地分类工具。您可以使用 GUI 创建一个独立的本地收集器：

1、按上述方法启动 GUI ( velociraptor gui)。

2、选择Server Artifacts侧边栏菜单，然后Build Collector。

3、选择并配置您想要收集的工件，然后选择选项Uploaded Files并下载您的自定义收集器。

许可证协议

本项目的开发与发布遵循GNU AFFERO GPL v3开源许可协议。

项目地址

Velociraptor：【GitHub传送门】

参考资料

https://docs.velociraptor.app/

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022