mac_apt
v1.7.5-dev
MAC_APT est un outil DFIR (criminalistique numérique et réponse des incidents) pour traiter les images de disque complète Mac ( ou machines en direct ) et extraire des données / métadonnées utiles pour une enquête médico-légale. Il s'agit d'un cadre basé sur Python, qui propose des plugins pour traiter les artefacts individuels (tels que l'historique Internet Safari, les interfaces réseau, les fichiers et volumes récemment accessibles, ..)
MAC_APT inclut désormais iOS_APT , pour le traitement des images iOS.
Remarque: Testé jusqu'à Python 3.12 sur Windows et MacOS.
✔️ Peut lire les fichiers zip de collection ciblée créée par axiom
✔️ IOS_APT peut lire le système de fichiers extrait de Graykey
✔️ peut lire Recon et ASLA Créé des fichiers.
✔️ Prise en charge des volumes de macOS Big Sur scellés (11,0)
✔️ Présentation iOS_APT pour le traitement des images iOS / iPados
✔️ Mode rapide ⏳
✔️ Les images APFS cryptées peuvent désormais être traitées à l'aide de mot de passe / clé de récupération?
✔️ MacOS Catalina (10.15+) Volumes de systèmes et de données montés séparément maintenant pris en charge
✔️ Les images AFF4 (y compris Macquisition / DigitalCollector créées) sont prises en charge
| Plugins disponibles (artefacts analysés) | Description |
|---|---|
| Applist | Lit des applications et des imprimantes installées et / ou disponibles pour chaque utilisateur de Applist.dat |
| Arder | Lit des bases de données ARD (Apple Remote Desktop) sur l'utilisation des applications |
| ASL | Lit ASL (Apple System Log) à partir des fichiers ASL.Log, ASL.DB et ".ASL" |
| AutoStart | Récupère les programmes, les démons, les services pour commencer au démarrage / connexion |
| BasicInfo | Configuration de base de la machine et du système |
| Bluetooth | Obtient des artefacts Bluetooth |
| Call-effectif | Lire la base de données de l'historique des appels |
| Cfurlcache | Lit le cache CFURL aux URL, aux demandes et aux réponses |
| CHROME | Lire les navigateurs chromiums (Edge, Chrome, Opera, ..) Historique, les meilleurs sites, téléchargements et informations d'extension |
| COOKIES | Lit.binary cookies, .cookies fichiers et hsts.plist pour chaque utilisateur |
| CrashReporter | Lit Crash Reporter Plist |
| Dockerms | Lit le Dock Plist pour chaque utilisateur |
| Documentations | Lire la base de données DocumentRevisions |
| Domaines | Domaine (s) Active Directory auquel le Mac est connecté |
| Quasi-partage | Lire les informations de dossier partagé |
| Incendier | Lire l'histoire d'Internet auprès du navigateur de Mozilla Firefox |
| Fsevents | Lit des journaux d'événements du système de fichiers (à partir de .fseventsd) |
| Idevicebackups | Lit et exporte des bases de données de sauvegarde iPhone / iPad |
| Ideviceinfo | Lire et exporte des détails d'iDevice connectés |
| IMessage | Lire les chats iMessage |
| Comptes inet | Récupérer les comptes Internet configurés (iCloud, Google, LinkedIn, Facebook ..) |
| Installation | Historique d'installation du logiciel |
| MSOFFICE | Lit Word, Excel, PowerPoint et d'autres chemins de fichier MRU / accessibles |
| MSRDC | Lire l'historique de la connexion à partir de la base de données de bureau à distance Microsoft et extrait les miniatures |
| Netumation | Lire les statistiques des données d'utilisation du réseau par application |
| Réseautage | Interfaces, dernière adresse IP, adresse MAC, DHCP. |
| Notes | Lit des bases de données de notes |
| Notifications | Lit les données de notification Mac pour chaque utilisateur |
| Printjobs | Parses Cups a volé des travaux d'impression pour obtenir des informations sur les fichiers / commandes envoyés à une imprimante |
| QUARANTAINE | Lit la base de données de quarantaine et le fichier .lastgkreject |
| Quicklook | Lit sur l'index QuickLook.Sqlite et les voyages de sculpture de Thumbnails.data |
| Récent | Des serveurs, documents, hôtes, volumes et applications récemment accessibles à partir de fichiers .plist et .sfl. Obtient également des recherches et des lieux récents pour chaque utilisateur |
| SAFARI | Historique Internet, informations sur le fichier téléchargé, cookies et plus à partir de caches Safari |
| Sauvegarde | Obtient des titres de fenêtre à partir d'informations sur l'état de l'application enregistrée |
| Case d'écran | Lit la liste des hôtes connectés avec le partage d'écran |
| Temps script | Lire la base de données du temps de temps pour l'utilisation du programme et des applications |
| METTRE EN LUMIÈRE | Lit les bases de données d'index des Spotlight |
| SpotlightShortcuts | Données typées de l'utilisateur dans la barre des projecteurs et le document / application ciblée |
| Sudolastrun | Obtient la dernière fois que Sudo a été utilisé et quelques autres fois plus tôt (si disponible) |
| TCC | Lire la base de données de la transparence, du consentement et du contrôle (TCC) |
| Terminal | Lit des fichiers d'état enregistrés sur le terminal qui comprend le contenu en texte intégral des fenêtres terminales |
| Conformité | Lit History & Sessions de Terminal (Bash & Zsh) pour chaque utilisateur |
| Unifiedlogs | Lit des journaux de journalisation unifiés macOS à partir des fichiers .tracev3 |
| Utilisateurs | Informations sur l'utilisateur local et du domaine - Nom, UID, UUID, GID, Création de compte et dates de jeu de mots de passe, indices de passage, chemins Homedir et Darwin |
| Utmpx | Lit le fichier utmpx |
| Wifi | Obtient des informations sur le réseau WiFi |
| Xprotect | Lit des fichiers de diagnostic XProtect et une base de données de services de comportement XProtect |
Pour l'installation (pour exécuter à partir du code), voir https://github.com/ydkhatri/mac_apt/wiki/installation-for-python3
Veuillez lire la documentation ici: https://github.com/ydkhatri/mac_apt/wiki
Pour télécharger Windows Binaires, procédez ici - https://github.com/ydkhatri/mac_apt/releases
N'hésitez pas à envoyer des commentaires et des commentaires à [email protected], ou ouvrez un problème.
