mac_apt
v1.7.5-dev
Mac_apt ist ein DFIR -Tool (Digital Forensics and Incident Response), um Mac -Computer -vollständige Festplattenbilder ( oder Live -Maschinen ) zu verarbeiten und Daten/Metadaten zu extrahieren, die für die forensische Untersuchung nützlich sind. Es handelt sich um ein Python -basierter Framework, das Plugins zur Verarbeitung einzelner Artefakte hat (wie Safari -Internetverlauf, Netzwerkschnittstellen, kürzlich auf Dateien und Volumes zugegriffene.)
Mac_apt enthält jetzt auch iOS_APT , um iOS -Bilder zu verarbeiten.
HINWEIS: bis Python 3.12 unter Windows und MacOS getestet.
✔️ kann axiom erstellte zielgerichtete Sammel -Zip -Dateien lesen
✔️ iOS_APT kann Graykey Extrahiertes Dateisystem lesen
✔️ kann Recon und Asla erstellt.
✔️ Unterstützung für macos big sur versiegelte Bände (11.0)
✔️ Einführung iOS_APT zur Verarbeitung iOS/iPados -Bilder
✔️ Schneller Modus ⏳
✔️ Verschlüsselte APFS-Bilder können jetzt mit Kennwort/Wiederherstellungsschlüssel verarbeitet werden?
✔️ MacOS Catalina (10.15+) separat montiertes System- und Datenvolumina jetzt unterstützt
✔️ AFF4 -Bilder (einschließlich Macquisition/DigitalCollector erstellt) werden unterstützt
| Verfügbare Plugins (Artefakte analysiert) | Beschreibung |
|---|---|
| Anwendung | Leads Apps und Drucker, die für jeden Benutzer von Applist.dat installiert und/oder verfügbar sind |
| ARD | Liest ARD (Apple Remote Desktop) zwischengespeicherte Datenbanken zur App -Nutzung |
| ASL | Liest ASL (Apple System Log) aus ASL.log, ASL.DB und ".asl" -Dateien |
| Autostart | Ruft Programme, Dämonen und Dienste ab |
| Basicinfo | Grundlegende Maschinen- und Betriebssystemkonfiguration wie SN, TimeZone, Computername, zuletzt angemeldete Benutzer, HFS -Info |
| Bluetooth | Bekommt Bluetooth -Artefakte |
| Callhistory | Lesen der Anrufverlaufsdatenbank |
| Cfurlcache | Liest CFURL -Cache zu URLs, Anfragen und Antworten |
| CHROM | Lesen Sie Chrom -Browser (Edge, Chrom, Opera, ..) Geschichte, Top -Websites, Downloads und Erweiterungsinformationen |
| Kekse | Liest .bärarycookies, .cookies -Dateien und HSTS.PlIST für jeden Benutzer |
| CrashReporter | Leads Crash Reporter plagen |
| Dockitems | Liest den Dock Plist für jeden Benutzer |
| Dokumentrevisionen | Liest die documentRevision -Datenbank |
| Domänen | Active Directory -Domänen (en), mit der der Mac verbunden ist |
| Filesharing | Lesen Sie Shared Ordner Info |
| Firefox | Lesen Sie die Internetgeschichte aus dem Mozilla Firefox Browser |
| FSEVENTS | Leads Dateisystemereignisprotokolle (von .FSEVentsd) |
| IdeviceBackups | Liest und exportiert iPhone/iPad -Sicherungsdatenbanken |
| IdeviceInfo | Leads und Exporte mit verbundenen Idevice -Details |
| IMESSAGE | Lesen Sie iMessage Chats |
| Inetaccounts | Abrufen Sie konfigurierte Internetkonten ab (iCloud, Google, LinkedIn, Facebook ..) |
| InstallationHistory | Software -Installationsverlauf |
| Msoffice | Liest Word-, Excel-, PowerPoint- und andere MRU-/Zugriffs -Dateipfade in den Büro- und Zugriffsdateien |
| Msrdc | Liest den Verbindungshistorie aus der Microsoft Remote -Desktop -Datenbank und extrahiert Miniaturansichten |
| Netusage | Lesen Sie die Datenstatistik der Netzwerknutzung pro Anwendung |
| Networking | Schnittstellen, letzte IP -Adresse, MAC -Adresse, DHCP .. |
| Notizen | Liest Notizendatenbanken |
| Benachrichtigungen | Liest Mac -Benachrichtigungsdaten für jeden Benutzer |
| Printjobs | Parse Cups Spuled Print Jobs, um Informationen zu Dateien/Befehlen zu erhalten, die an einen Drucker gesendet werden |
| QUARANTÄNE | Liest die Quarantänendatenbank und die .lastgKREject -Datei |
| QuickLook | Liest den QuickLook Index.sqlite und schnitzt Miniaturansichten von thumbnails.data |
| NeuereItenems | Kürzlich zugegriffene Server, Dokumente, Hosts, Volumes und Anwendungen von .Plist- und .sfl -Dateien. Erhält auch die jüngsten Suchanfragen und Orte für jeden Benutzer |
| SAFARI | Internetverlauf, heruntergeladene Dateiinformationen, Cookies und mehr von Safari Caches |
| Gerettet | Holen Sie sich Fenstertitel von gespeicherten Anwendungsstatus -Informationen |
| Screensharing | Liest die Liste der vernetzten Hosts mit Bildschirmfreigabe |
| Bildschirme | Liest Screentime -Datenbank für Programm- und App -Nutzung |
| SCHEINWERFER | Liest die Spotlight Index -Datenbanken |
| Spotlightshortcuts | Benutzer tippten Daten in der Spotlight -Leiste und gezielt Dokument/App |
| Sudolastrun | Das letzte Mal wurde Sudo verwendet und einige andere Zeiten früher (falls verfügbar) |
| TCC | Liest Transparenz-, Einwilligungs- und Steuerungsdatenbank (TCC) |
| Terminalstate | Liest terminal gespeicherte Statusdateien, die vollständige Textinhalte von Terminal Windows enthalten |
| Begriffe | Liest Terminal (Bash & ZSH) History & Sasions für jeden Benutzer |
| Unifiedlogs | Liest macOS Unified Protokolling -Protokolle aus .Tracev3 -Dateien |
| Benutzer | Lokale und Domain -Benutzerinformationen - Name, UID, UUID, GID, Kontoerstellung und Passwort Set -Daten, Pass -Hinweise, Homedir & Darwin Paths |
| UTMPX | Liest UTMPX -Datei |
| W-LAN | Ruft WLAN -Netzwerkinformationen ab |
| XProtect | Liest die Database der XProtect -Diagnosedateien und der XProtect -Verhaltensdienstleistung |
Für die Installation (zum Ausführen aus Code) siehe https://github.com/ydkhatri/mac_apt/wiki/installation-for-python3
Bitte lesen Sie die Dokumentation hier: https://github.com/ydkhatri/mac_apt/wiki
Um Windows -Binärdateien herunterzuladen, fahren Sie hier fort - https://github.com/ydkhatri/mac_apt/releases
Fühlen Sie sich frei, Kommentare und Feedback an [email protected] zu senden oder ein Problem zu öffnen.
