关于ChopChopGo

ChopChopGo是一款针对Linux的取证数据快速收集工具，该工具基于Go语言开发，可以快速全面地分析日志和其他工件，以识别 Linux 上的潜在安全事件和威胁。

功能介绍

1、使用Sigma检测规则和自定义 ChopChopGo 检测规则搜寻威胁；

2、速度快如闪电，使用Go语言编写；

3、干净、轻量的执行和输出格式，减少了不必要的臃肿；

4、支持在 Linux 操作系统上运行；

工具要求

Golang

工具安装

由于该工具基于Go开发，因此我们首先需要在本地设备上安装并配置好最新版本的Go环境。

源码获取

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/M00NLIG7/ChopChopGo.git

然后切换到项目目录中，并通过运行以下命令自行编译代码：

cd ChopChopGogo build

运行下列命令安装systemd开发文件：

apt-get install libsystemd-dev

发布版本

我们还可以直接访问该项目的【Releases页面】下载预编译版本的ChopChopGo 二进制文件以及与之配合的官方 sigma 规则。

工具使用

常规使用

通过syslog执行默认搜索：

./ChopChopGo

通过Auditd日志和官方Sigma规则执行搜索：

./ChopChopGo -target auditd -rules ./rules/linux/auditd/ -file /opt/evidence/auditd.log

通过Journald和指定规则自行搜索：

./ChopChopGo -target journald -rules ./rules/linux/builtin/

替代输出格式

您可能希望以自动化方式使用 ChopChopGo。CSV 和 JSON 输出选项对此很有用。使用这两个选项时，标题和进度统计信息不会打印到控制台。其中，每个选项都可以使用-out参数来设置。

CSV：

./ChopChopGo -target sylog -rules ./rules/linux/builtin/syslog/ -out csv

JSON：

./ChopChopGo -target syslog -rules ./rules/linux/builtin/syslog/ -out json

更新Sigma规则

./update-rules.sh

工具运行演示

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可协议。

项目地址

ChopChopGo：【GitHub传送门】

参考资料

GitHub - SigmaHQ/sigma: Main Sigma Rule Repository