Velociraptor项目中JSON解析异常问题分析与解决方案

问题背景

在Velociraptor安全监控工具的实际使用中，用户发现在执行某些特定查询（如Exchange.Windows.ActiveDirectory.PrivilegedUsers）时，系统会遇到JSON解析错误。具体表现为当输出中包含特殊字符（如\x15）时，parse_json_array()函数会静默失败，不返回任何结果，但控制台却显示查询成功完成。这种情况可能导致安全分析人员误判扫描结果，产生潜在的安全风险。

技术分析

根本原因

1. 错误级别设置不当：当前parse_json_array()函数将解析错误记录为INFO级别而非ERROR级别，导致错误不易被发现
2. 字符编码问题：Windows PowerShell输出通常采用UTF-16编码，而Velociraptor默认可能使用UTF-8处理
3. 空输出处理：当PowerShell脚本执行失败或环境不满足条件时，可能返回空字符串，这不是有效的JSON数组格式

影响范围

主要影响以下场景：

• 使用PowerShell获取ActiveDirectory信息的查询
• 输出中包含控制字符或非标准Unicode字符的情况
• 系统未正确配置RSAT工具或非域加入环境

解决方案

临时解决方案

修改查询语句，同时显示原始输出和解析结果：

SELECT Stdout, parse_json_array(data=Stdout) AS Output
FROM execve(argv=["powershell",
     "-ExecutionPolicy", "Unrestricted", "-encodedCommand",
        base64encode(string=utf16_encode(
        string=script))
], length=1000000)

长期改进建议

1. 错误级别调整：应将JSON解析错误提升至ERROR级别
2. 编码预处理：对PowerShell输出显式进行UTF-16解码
3. 空值检查：在解析前验证输出是否为空或包含有效JSON
4. 环境检测：在执行前检查RSAT工具和域加入状态

最佳实践

1. 双重验证机制：对于关键查询，建议同时保留原始输出和解析结果
2. 错误处理：在VQL中实现显式错误检查逻辑
3. 环境预检：在执行ActiveDirectory相关查询前，先验证环境依赖
4. 日志审查：即使查询显示成功，也应检查错误日志

总结

Velociraptor作为强大的端点检测与响应工具，在处理特殊字符和复杂环境时可能遇到解析挑战。通过理解底层机制并实施适当的预防措施，可以显著提高查询的可靠性和结果的可信度。建议用户在部署关键查询前进行充分测试，并建立完善的结果验证流程。