远程现场取证系统:GRR
GRR 是 Google 开发的远程现场事件取证系统。GRR 由一个代理(客户端)和服务器端组成,客户端可以部署在一个任务系统中,服务器可以管理客户端,跟客户端进行交互。
客户端特性:
-
跨平台支持 Linux,Mac OS X 和 Windows
-
在线远程内存分析,使用开源的 Linux,Mac OS X 和 Windows 内存驱动,还有 Rekall 内存分析框架
-
强大的文件搜索和下载功能,还有 Windows 注册表
-
网络部署使用安全基础设施设计
-
支持客户端自动更新
-
详细监控客户端 CPU,内存,IO 使用和自我限制
服务器端特性
-
完全成熟的时间处理能力,能处理大部分事件和取证任务
-
使用 SleuthKit (TSK) 进行操作系统级别和文件系统访问
-
自动计划任务的调度
-
Ajax Web UI.
-
完全脚本化的 IPython 工作台访问
-
基本系统时间特性
-
基本报告基础设施
本文由用户 jopen 自行上传分享,仅供网友学习交流。所有权归原作者,若您的权利被侵害,请联系管理员。
转载本站原创文章,请注明出处,并保留原始链接、图片水印。
本站是一个以用户分享为主的开源技术平台,欢迎各类分享!