Velociraptor ist ein Open Source incident response tool welches direkt auf endpoints installiert werden kann.

Die letzte version von https://github.com/Velocidex/velociraptor/releases/ herunterladen und in einem admin prompt mit folgendem Kommando die konfiguration generieren lassen.

.\velociraptor-v0.7.0-3-windows-386.exe config generate -i

output:

Um eine unkomplizierte lokale installation zu testen kann eine lokale instanz erzeugt werden.
Hirer wir das standardport 8889 verwendet.

.\velociraptor-v0.7.0-3-windows-386.exe gui

Verifizieren ob der lokale client grün ist und hunting starten. – hier ein Beispiel für eine standard forenische Timeline für den Filezugriff.

Eine Hunt wird mittels des + Symbols gestartet-> die gewünschten Artefakte (Forensische Daten) auswählen -> hunt starten (play button oben) -> Ergebnis rechts unten abrufen.

then RUN!

Weiteres Beispiel:

Powershell aktivitäten auf dem System suslesen.

Hier wurden die vorhandenen Powershell-logs ausgelesen und als csv exportiert.

Happy hunting!

Easy oder?