FireKylin（火麒麟）-网络安全应急响应工具(系统痕迹采集)

 FireKylin介绍

    FireKylin中文名称叫：火麒麟，其实跟某氪金游戏火麒麟并没有关系，作为国产的网络安全工具名称取自中国神兽：麒麟。寓意是希望能够为守护中国网络安全作出一份贡献。

    其功能是收集操作系统各项痕迹，支持Windows和Linux痕迹收集。

    其作用是为分析研判安全事件提供操作系统数据。

    其目的是让任何有上机排查经验和无上机排查经验的人都可以进行上机排查安全事件。

    在应对安全事件上机排查时，对于没有此方面经验但是有研判能力的安全专家来讲，经常苦于需要参考各种安全手册进行痕迹采集、整理、研判，此时我们可以使用FireKylin-Agent进行一键痕迹收集，降低排查安全专家收集工作的难度。

    FireKylin的使用方式很简单，将Agent程序上传到需要检测的主机上，运行Agent程序，将采集到的数据.fkld文件下载下来，用界面程序加载数据就可以查看主机中的用户、进程、服务等信息，并且Agent最大的特点就是【0命令采集】对安装了监控功能的安全软件的主机来讲是非常友好的，不会对监控软件产生引起“误报安全事件”的命令。

下载地址

https://github.com/MountCloud/FireKylin


 

使用教程

把下载下来的压缩包解压后会出现三个文件

收集Windows数据步骤

1、打开agent文件夹，选择windows文件夹，根据系统可以随意点击32位 [x86]或者64位 [x64]，放在目标主机上运行。

2、双击FireKylinAgentWindows-x64，自动启动DOS窗口，输入start，回车，开始采集信息，会生成一个.fkld文件

采集完成后收到提示，随后回车就好了。

3、依次打开FireKylinV1.4.0-Gui-FireKylinGui.exe

点击操作-加载数据文件，导入上面的数据.fkld文件

即可相关的系统的使用痕迹

收集linux数据步骤

1、打开agent文件夹，选择linux文件夹，将脚本工具放在目标主机上运行。

可以使用ssh、WinSCP或者其他工具，先将脚本上传上去

2、首先给FireKylinAgentLinux-x64脚本加上可执行权限或者使用root账户

然后./ 执行

输入start，开始采集信息

会生成一个.fkld文件

3、把.fkld文件拷贝出来，在Gui-FireKylinGui，导入上面的数据.fkld文件

即可相关的系统的使用痕迹

工具链接：https://pan.baidu.com/s/1H6yQcMGUhECDBFqqMvaJuQ 提取码：m2gd