mac_apt
v1.7.5-dev
Mac_apt es una herramienta DFIR (Forense Digital y Respuesta a Incidentes) para procesar imágenes de disco completa de la computadora Mac ( o máquinas vivos ) y extraer datos/metadatos útiles para la investigación forense. Es un marco basado en Python, que tiene complementos para procesar artefactos individuales (como el historial de Internet Safari, las interfaces de red, los archivos y volúmenes recientemente de acceso, ..)
Mac_apt ahora también incluye iOS_APT , para procesar imágenes de iOS.
Nota: Probado hasta Python 3.12 en Windows y macOS.
✔️ puede leer archivos zip de colección específicos creados por Axiom
✔️ iOS_apt puede leer el sistema de archivos extraído GrayKey
✔️ puede leer Recon y ASLA creó archivos .SparseImage
✔️ Soporte para MacOS Big Sur Volúmenes sellados (11.0)
✔️ Introducción de iOS_APT para procesar imágenes de iOS/iPados
✔️ Modo rápido ⏳
✔️ Las imágenes APFS cifradas ahora se pueden procesar utilizando contraseña/tecla de recuperación?
✔️ MacOS Catalina (10.15+) Sistema montado por separado y volúmenes de datos ahora admitidos
Se admiten las imágenes Aff4 Aff4 (incluida Macquisition/DigitalCollector creado)
| Complementos disponibles (artefactos analizados) | Descripción |
|---|---|
| Aplicar | Lea las aplicaciones e impresoras instaladas y/o disponibles para cada usuario de Applist.dat |
| Ard | Lea las bases de datos en caché ARD (Apple Remote Desktop) sobre el uso de la aplicación |
| ASL | Lee ASL (registro del sistema Apple) de ASL.Log, ASL.DB y archivos ".asl" |
| Autostart | Recupera programas, demonios, servicios establecidos para comenzar en arranque/inicio de sesión |
| BasicInfo | Configuración básica de máquinas y del sistema operativo como SN, zona horaria, nombre de la computadora, última sesión en el usuario, información HFS |
| Bluetooth | Obtiene artefactos Bluetooth |
| Holgazán | Lee la base de datos del historial de llamadas |
| Cfurlcache | Lee CFURL Cache a URL, solicitudes y respuestas |
| CROMO | Lea los navegadores de Chromium (Edge, Chrome, Opera, ..) Historia, Sitios Top, Descargas e Información de Extensión |
| GALLETAS | Lee .binarycookies, archivos .cookies y hsts.splist para cada usuario |
| Reportero Crash | Lee el reportero de choque Plists |
| Dockitems | Lee el muelle plist para cada usuario |
| Revisiones de documentos | Lee la base de datos de las previsiones de documentos |
| Dominio | Dominios (s) de Active Directory con los que el Mac está conectado |
| Navegación por archivos | Leer información de carpeta compartida |
| Firefox | Lea el historial de Internet del navegador Mozilla Firefox |
| Fsevents | Lee registros de eventos del sistema de archivos (de .fseventsd) |
| IDevicebackups | Lee y exporta bases de datos de copia de seguridad de iPhone/iPad |
| IDEVICEINFO | Lectura y exporta detalles de iDevice conectados |
| IMessage | Leer chats de iMessage |
| Inetacunts | Recupere las cuentas de Internet configuradas (iCloud, Google, LinkedIn, Facebook ..) |
| InstallHistory | Historial de instalación de software |
| MSOFiMA | Lee Word, Excel, PowerPoint y otras rutas de archivo MRU/consultado de la oficina |
| MSRDC | Lee el historial de conexión de la base de datos de escritorio remota de Microsoft y extrae miniaturas |
| Netusage | Leer estadísticas de datos de uso de la red por aplicación |
| Networking | Interfaces, última dirección IP, dirección MAC, DHCP. |
| Notas | Lea las bases de datos de notas |
| Notificaciones | Lee datos de notificación de Mac para cada usuario |
| Printjobs | Trabajos de impresión en carreras de tazas analizadas para obtener información sobre archivos/comandos enviados a una impresora |
| CUARENTENA | Lee la base de datos de cuarentena y el archivo .lastgkreject |
| Quitan | Lee el índice Quicklook.sqlite y talla en miniaturas de las miniaturas.data |
| Recientes | Servidores, documentos, hosts, volúmenes y aplicaciones recientemente accedidos de los archivos .Plist y .sfl. También recibe búsquedas y lugares recientes para cada usuario |
| SAFARI | Historial de Internet, información de archivo descargada, cookies y más de Safari Caches |
| Estado salvado | Obtiene títulos de ventana de la información de estado de aplicación guardada |
| Pantallas de pantalla | Lee la lista de hosts conectados con el intercambio de pantalla |
| Tiempo de pantalla | Lee la base de datos de tiempo de pantalla para el uso del programa y la aplicación |
| DESTACAR | Lee las bases de datos del índice de Spotlight |
| SpotlightShortcuts | Datos mecanografiados del usuario en la barra de Spotlight y el documento/aplicación específica |
| Sudolastrun | Obtiene la última vez que se usó sudo y algunas otras veces antes (si está disponible) |
| TCC | Lee la base de datos de transparencia, consentimiento y control (TCC) |
| Terminal estatal | Lee archivos estatales guardados en terminal que incluye contenido de texto completo de Windows terminal |
| Términos | Lee Historia y Sesiones de Terminal (Bash & Zsh) para cada usuario |
| Logos unificados | Lee los registros de registro de MacOS Unified de los archivos .Tracev3 |
| Usuarios | Información del usuario local y de dominio: nombre, UID, UUID, GID, creación de cuentas y fechas establecidas, Pases de aprobación, Homedir & Darwin Raths |
| UTMPX | Lee el archivo UTMPX |
| Wifi | Obtiene información de red wifi |
| Xprotect | Lee archivos de diagnóstico xprotect y base de datos de servicio de comportamiento xprotect |
Para la instalación (para ejecutar desde el código), consulte https://github.com/ydkhatri/mac_apt/wiki/installation-for-python3
Lea la documentación aquí: https://github.com/ydkhatri/mac_apt/wiki
Para descargar binarios de Windows, continúe aquí - https://github.com/ydkhatri/mac_apt/releases
No dude en enviar comentarios y comentarios a [email protected], o abrir un problema.
