GRR Rapid Response:Linux/OSX/Windows远程实时取证分析工具

GRR Rapid Response远程实时取证工具

GRR Rapid Response是一种事件响应框架,专注于对Linux、macOS/OS X和Windows客户端远程执行实时取证分析。调查人员将Python代理安装到目标系统上后,可以远程实时分析内存,以便收集用于取证分析的数据证据,并执行详细的系统监控,监控CPU、处理器和输入/输出使用情况。GRR还使用SleuthKit让调查人员可以访问原始文件系统,更底层的进行网络取证工作。

GRR Rapid Response:Linux/OSX/Windows远程实时取证分析工具
GRR远程实时取证工具

GRR由两部分组成:客户端和服务器。

  • GRR客户端:部署在可能要调查的系统上。在每个这样的系统上,一旦部署,GRR客户端会定期轮询GRR前端服务器以进行工作。“工作”意味着运行特定操作:下载文件,列出目录等。
  • GRR服务器:基础架构由多个组件(前端,工作人员,UI服务器)组成,并提供基于Web的图形用户界面和API端点,允许分析人员在客户端上安排操作并查看和处理收集的数据。

GRR客户端功能

  • 跨平台支持Linux,OS X和Windows客户端。
  • 使用YARA库进行实时远程内存分析。
  • 强大的文件和Windows注册表搜索和下载功能。
  • 使用SleuthKit(TSK)进行操作系统级和原始文件系统访问。
  • 专为Internet部署而设计的安全通信基础
  • 详细监控客户端CPU,内存,IO使用情况和自我限制。

GRR服务器功能

  • 完全成熟的响应功能,可处理大多数事件响应和取证任务。
  • 企业狩猎(搜索机队)支持。
  • 快速简单地收集数百个数字取证单元。
  • AngularJS Web UI和RESTful JSON API,包含Python,PowerShell和Go中的客户端库。
  • 强大的数据导出功能,支持各种格式和输出插件。
  • 完全可扩展的后端,能够处理大型部署。
  • 自动安排重复任务。
  • 异步设计允许客户进行未来的任务调度,旨在与大量笔记本电脑配合使用。

GRR取证工具界面

GRR安装与使用

GRR拥有非常完善的安装与使用帮助:https://grr-doc.readthedocs.io