应急响应神器-火麒麟[firekylin]

前言：

攻防演练的十几天，那天不是在风口浪尖之上，那天不是让人心惊胆战，那天不是让人高血压直飙。不仅还要看监控，还要日常安全运营，还还要处理应急响应，真是应了那句话："你问我外包算什么东西？我现在告诉你，你们不敢加的班，我们外包敢加，生死看淡，不服就干！这就是外包，够不够清楚."

言归正传，今天主要是想给大家分享 MountCloud大神做的应急响应的工具——火麒麟，听着像某氪金游戏的神器，其实呢？跟某氪金游戏火麒麟并没有关系，作为国产的网络安全工具名称取自中国神兽：麒麟。寓意是希望能够为守护中国网络安全作出一份贡献。它功能是收集操作系统各项痕迹。作用是为分析研判安全事件提供操作系统数据。目的是让任何有上机排查经验和无上机排查经验的人都可以进行上机排查安全事件。

1、下载使用

2、痕迹收集功能

解压后找Agent，下面有Linux和windows这两个文件夹，这两个文件分别是针对linux系统和windows系统进行 进行一键痕迹收集 。

我们就以Windows为例，运行

直接在输入栏输入start就会自动采集打包本地Windows用户、进程、启动项、服务、网络、计划任务、包括Windows的系统日志。

直接生成到E:应急响应工具包FireKylinV1.4.0AgentWindows下的fkld文件

3、痕迹分析功能

运行FireKylinGui.exe，进入FireKylinGui界面

导入E:应急响应工具包FireKylinV1.4.0AgentWindows下的fkld文件

这时候咱们就能清楚看到Windows本地用户

进程

启动项

服务

网络

计划服务

系统日志

这些信息非常清晰，一目了然，更加方便我们去判断这些内容。Linux系统同样如此。

下载：

下载方式2：GitHub下载地址：https://github.com/MountCloud/FireKylin/releases