GRR Rapid Response:Linux/OSX/Windows远程实时取证分析工具
- 发表于
- 安全工具
GRR Rapid Response远程实时取证工具
GRR Rapid Response是一种事件响应框架,专注于对Linux、macOS/OS X和Windows客户端远程执行实时取证分析。调查人员将Python代理安装到目标系统上后,可以远程实时分析内存,以便收集用于取证分析的数据证据,并执行详细的系统监控,监控CPU、处理器和输入/输出使用情况。GRR还使用SleuthKit让调查人员可以访问原始文件系统,更底层的进行网络取证工作。
GRR由两部分组成:客户端和服务器。
- GRR客户端:部署在可能要调查的系统上。在每个这样的系统上,一旦部署,GRR客户端会定期轮询GRR前端服务器以进行工作。“工作”意味着运行特定操作:下载文件,列出目录等。
- GRR服务器:基础架构由多个组件(前端,工作人员,UI服务器)组成,并提供基于Web的图形用户界面和API端点,允许分析人员在客户端上安排操作并查看和处理收集的数据。
GRR客户端功能
- 跨平台支持Linux,OS X和Windows客户端。
- 使用YARA库进行实时远程内存分析。
- 强大的文件和Windows注册表搜索和下载功能。
- 使用SleuthKit(TSK)进行操作系统级和原始文件系统访问。
- 专为Internet部署而设计的安全通信基础
- 详细监控客户端CPU,内存,IO使用情况和自我限制。
GRR服务器功能
- 完全成熟的响应功能,可处理大多数事件响应和取证任务。
- 企业狩猎(搜索机队)支持。
- 快速简单地收集数百个数字取证单元。
- AngularJS Web UI和RESTful JSON API,包含Python,PowerShell和Go中的客户端库。
- 强大的数据导出功能,支持各种格式和输出插件。
- 完全可扩展的后端,能够处理大型部署。
- 自动安排重复任务。
- 异步设计允许客户进行未来的任务调度,旨在与大量笔记本电脑配合使用。
GRR取证工具界面
GRR安装与使用
GRR拥有非常完善的安装与使用帮助:https://grr-doc.readthedocs.io
原文连接:GRR Rapid Response:Linux/OSX/Windows远程实时取证分析工具
所有媒体,可在保留署名、
原文连接
的情况下转载,若非则不得使用我方内容。