GRR Rapid Response：Linux/OSX/Windows远程实时取证分析工具

GRR Rapid Response远程实时取证工具

GRR Rapid Response是一种事件响应框架，专注于对Linux、macOS/OS X和Windows客户端远程执行实时取证分析。调查人员将Python代理安装到目标系统上后，可以远程实时分析内存，以便收集用于取证分析的数据证据，并执行详细的系统监控，监控CPU、处理器和输入/输出使用情况。GRR还使用SleuthKit让调查人员可以访问原始文件系统，更底层的进行网络取证工作。

GRR由两部分组成：客户端和服务器。

• GRR客户端：部署在可能要调查的系统上。在每个这样的系统上，一旦部署，GRR客户端会定期轮询GRR前端服务器以进行工作。“工作”意味着运行特定操作：下载文件，列出目录等。
• GRR服务器：基础架构由多个组件（前端，工作人员，UI服务器）组成，并提供基于Web的图形用户界面和API端点，允许分析人员在客户端上安排操作并查看和处理收集的数据。

GRR客户端功能

• 跨平台支持Linux，OS X和Windows客户端。
• 使用YARA库进行实时远程内存分析。
• 强大的文件和Windows注册表搜索和下载功能。
• 使用SleuthKit（TSK）进行操作系统级和原始文件系统访问。
• 专为Internet部署而设计的安全通信基础
• 详细监控客户端CPU，内存，IO使用情况和自我限制。

GRR服务器功能

• 完全成熟的响应功能，可处理大多数事件响应和取证任务。
• 企业狩猎（搜索机队）支持。
• 快速简单地收集数百个数字取证单元。
• AngularJS Web UI和RESTful JSON API，包含Python，PowerShell和Go中的客户端库。
• 强大的数据导出功能，支持各种格式和输出插件。
• 完全可扩展的后端，能够处理大型部署。
• 自动安排重复任务。
• 异步设计允许客户进行未来的任务调度，旨在与大量笔记本电脑配合使用。

GRR取证工具界面

GRR安装与使用

GRR拥有非常完善的安装与使用帮助：https://grr-doc.readthedocs.io