mac_apt
v1.7.5-dev
Mac_apt adalah alat DFIR (Digital Forensik dan Insiden Respons) untuk memproses gambar disk lengkap komputer Mac ( atau mesin hidup ) dan mengekstrak data/metadata yang berguna untuk penyelidikan forensik. Ini adalah kerangka kerja berbasis Python, yang memiliki plugin untuk memproses artefak individu (seperti riwayat internet safari, antarmuka jaringan, file & volume yang baru diakses, ..)
Mac_apt sekarang juga termasuk iOS_apt , untuk memproses gambar iOS.
Catatan: Diuji hingga Python 3.12 pada Windows dan MacOS.
✔️ Dapat membaca file zip koleksi yang dibuat aksioma
✔️ ios_apt dapat membaca sistem file yang diekstraksi Graykey
✔️ Dapat membaca Recon dan Asla membuat file .sparseimage
✔️ Dukungan untuk volume tertutup macos besar (11.0)
✔️ Memperkenalkan IOS_APT untuk memproses gambar iOS/ipados
✔️ Mode cepat ⏳
Gambar APFS terenkripsi sekarang dapat diproses menggunakan kata sandi/pemulihan-key?
✔️ MacOS Catalina (10.15+) Sistem & volume data yang dipasang secara terpisah sekarang didukung
✔️ gambar Aff4 (termasuk Macquisition/DigitalCollector dibuat) didukung
| Plugin yang tersedia (artefak diurai) | Keterangan |
|---|---|
| Mendaftar | Membaca aplikasi & printer yang diinstal dan/atau tersedia untuk setiap pengguna dari applist.dat |
| Ard | Membaca ARD (Apple Remote Desktop) Database Cached Tentang Penggunaan Aplikasi |
| Asl | Membaca ASL (Log Sistem Apple) dari Asl.log, Asl.db dan ".asl" file |
| Autostart | Mengambil program, daemon, layanan yang diatur untuk memulai dari boot/login |
| BASICINFO | Konfigurasi Mesin Dasar & OS Seperti SN, TimeZone, Nama Komputer, Terakhir Termasuk Pengguna, Info HFS |
| Bluetooth | Mendapat artefak Bluetooth |
| Callhistory | Membaca Database Sejarah Panggilan |
| Cfurlcache | Membaca cache CFURL ke URL, permintaan dan tanggapan |
| Kromium | Baca Browser Chromium (Edge, Chrome, Opera, ..) Sejarah, Situs Teratas, Unduhan dan Info Ekstensi |
| Cookie | Membaca .binarycookies, .cookies Files dan hsts.plist untuk setiap pengguna |
| CrashReporter | Membaca crash reporter plists |
| Dockitems | Membaca Plist Dock untuk setiap pengguna |
| DocumentRevision | Membaca database DocumentRevisions |
| Domain | Domain Direktori Aktif yang terhubung dengan Mac |
| Filesharing | Baca info folder bersama |
| Firefox | Baca Riwayat Internet dari Browser Mozilla Firefox |
| Fsevents | Membaca Log Acara Sistem File (dari .fseventsd) |
| IdeviceBackups | Membaca dan mengekspor database cadangan iPhone/iPad |
| IdeviceInfo | Membaca dan mengekspor detail iDevice yang terhubung |
| IMessage | Baca obrolan iMessage |
| Inetaccounts | Ambil akun internet yang dikonfigurasi (iCloud, Google, LinkedIn, Facebook ..) |
| Installhistory | Riwayat instalasi perangkat lunak |
| MSOffice | Membaca Word, Excel, PowerPoint dan Office Office MRU/Jalur File Diakses |
| MSRDC | Membaca Riwayat Koneksi dari Microsoft Remote Desktop Database dan mengekstrak thumbnail |
| Netusage | Baca statistik data penggunaan jaringan per aplikasi |
| Jaringan | Antarmuka, alamat IP terakhir, alamat MAC, DHCP .. |
| Catatan | Membaca catatan database |
| Pemberitahuan | Membaca data pemberitahuan Mac untuk setiap pengguna |
| Printjobs | Parses Cups Spooled Print Jobs untuk mendapatkan informasi tentang file/perintah yang dikirim ke printer |
| KARANTINA | Membaca database karantina dan file .LastGKRECT |
| Quicklook | Membaca QuickLook Index.sqlite dan mengukir thumbnail dari thumbnails.data |
| Narangan | Server, dokumen, host, volume & aplikasi yang baru diakses dari file .plist dan .sfl. Juga mendapat pencarian dan tempat terbaru untuk setiap pengguna |
| Safari | Riwayat Internet, Informasi File yang Diunduh, Cookie dan Lainnya Dari Cache Safari |
| SavedState | Mendapat judul jendela dari info status aplikasi yang disimpan |
| Screensharing | Membaca daftar host yang terhubung dengan berbagi layar |
| Screentime | Membaca basis data screentime untuk penggunaan program dan aplikasi |
| MENYOROTI | Membaca basis data indeks Spotlight |
| Spotlightshortcuts | Data yang diketik pengguna di bilah Spotlight & Dokumen/Aplikasi Target |
| Sudolastrun | Mendapat terakhir kali sudo digunakan dan beberapa kali sebelumnya (jika tersedia) |
| TCC | Membaca database Transparansi, Persetujuan dan Kontrol (TCC) |
| TerminalState | Membaca Terminal File Status Tersimpan Yang Termasuk Konten Teks Lengkap dari Terminal Windows |
| Persyaratan | Baca Terminal (Bash & Zsh) Sejarah & Sesi untuk Setiap Pengguna |
| Unifiedlogs | Membaca Log Logging Terpadu MacOS dari file .tracev3 |
| Pengguna | Informasi Pengguna Lokal & Domain - Nama, UID, UUID, GID, Pembuatan Akun & Tanggal Set Kata Sandi, Petunjuk Pass, Homedir & Darwin Paths |
| UTMPX | Membaca file UTMPX |
| Wifi | Mendapat informasi jaringan wifi |
| Xprotect | Membaca file diagnostik xprotect dan database layanan perilaku xprotect |
Untuk instalasi (untuk menjalankan dari kode) lihat https://github.com/ydkhatri/mac_apt/wiki/installation-for-python3
Silakan baca dokumentasi di sini: https://github.com/ydkhatri/mac_apt/wiki
Untuk mengunduh windows binari, lanjutkan di sini - https://github.com/ydkhatri/mac_apt/releases
Jangan ragu untuk mengirim komentar dan umpan balik ke [email protected], atau buka masalah.
