Fennec:针对类Unix操作系统的多功能事件应急响应工具箱

原创 于 2023-02-01 21:54:26 发布 · 196 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#unix #服务器

Fennec是一个用Rust语言开发的多功能网络安全工具,适用于类Unix系统。它支持osquery查询、系统命令执行、日志收集等功能,并允许用户自定义配置文件。Fennec提供静态编译的二进制文件,多种输出格式,以及快速的数据处理。用户可以通过配置输出格式为KJSON以配合Kuiper使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于Fennec

Fennec是一个针对类Unix操作系统的多功能事件应急响应工具箱,Fennec基于Rust开发,可以帮助广大研究人员在类Unix操作系统上实现网络安全事件应急响应。除此之外,Fennec还支持广大研究人员自行开发相关的配置文件,并增加工具箱中的实用工具。

功能介绍

1、单独的静态编译的二进制文件;

2、可以执行任何osquery SQL查询;

3、支持执行系统命令;

4、使用正则表达式解析任何文本文件;

5、支持收集系统日志和文件;

6、以结构化格式返回数据;

7、支持多种输出格式(JSONL、CSV和KJSON);

8、灵活的配置文件;

9、数据结果直接写入ZIP文件以节省空间;

10、运行速度非常快;

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/AbdulRhmanAlfaifi/Fennec.git

依赖组件

Fennec的正常工作需要依赖于osquery,首先我们需要修改“deps/<TARGET_OS>/config.yaml”配置文件。

接下来,使用下列命令构建代码:

动态链接:

cargo build --release

静态链接(编译所有组件):

RUSTFLAGS="-C target-feature=+crt-static" cargo build --release --target x86_64-unknown-linux-gnu

除此之外,我们还可以直接访问该项目的【
Releases页面】下载工具预编译代码。

工具使用

fennec 0.1.0

AbdulRhman Alfaifi <aalfaifi@u0041.co>

Aritfact collection tool for *nix systems

 

USAGE:

    fennec_x86_64-unknown-linux-gnu [OPTIONS]

 

OPTIONS:

    -c, --config <FILE>             设置自定义配置文件

    -f, --log-file <FILE>             设置日志文件名称,默认为fennec.log

    -h, --help                      打印工具帮助信息

    -l, --log-level <LEVEL>   设置日志等级,默认为info,可选trace、debug、info、error

    -o, --output <FILE>            设置输出文件名,默认为ABDULRHMAN-PC.zip

    --osquery-path <PATH>       设置osquery路径,默认为./osqueryd

    --output-format <FORMAT> 设置输出格式,默认为JSON,可选JSONL、CSV、KJSON

    -q, --quiet                     不将日志输出至STDOUT

    --show-config                 显示嵌入的配置文件

-V, --version                   打印工具版本信息

工具使用样例

默认配置

下面给出的使用样例,测试平台为Ubuntu 20,工具配置为默认配置:

结合Kuiper使用

我们需要使用下列参数选项来运行Fennec,输出的数据才是Kuiper支持的格式:

sudo ./fennec --output-format kjson

或者,我们也可以直接在配置文件中添加“args”字段:

args:

  - "--output-format"

  - "kjson"

重新编译后再次执行Fennec:

sudo ./fennec

然后将输出结果ZIP文件上传至Kuiper即可:

测试平台

Ubuntu 20.04.3 LTS(x86_64)

Ubuntu 19.04(x86_64)

Ubuntu 18.04.6 LTS(x86_64)

Ubuntu 17.04(x86_64)

Ubuntu 16.04.7 LTS(x86_64)

Ubuntu 15.10(x86_64)

Ubuntu 14.04.6 LTS(x86_64)

Ubuntu 13.04(x86_64)

Ubuntu 12.04.5 LTS(x86_64)

CentOS 8.4.2105(x86_64)

CentOS 7.9.2009(x86_64)

CentOS 6.10(x86_64)

Ubuntu 20.04(aarch64)

MacOS Monterey v12.0.1(x86_64)

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

Jinmindong
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值