mac_apt
v1.7.5-dev
Mac_aptは、Macコンピューターのフルディスクイメージ(またはライブマシン)を処理し、法医学調査に役立つデータ/メタデータを抽出するためのDFIR(デジタルフォレンジックおよびインシデント応答)ツールです。これは、個々のアーティファクト(Safariインターネット履歴、ネットワークインターフェイス、最近アクセスされたファイルとボリュームなどを処理するプラグインがあるPythonベースのフレームワークです。
Mac_aptには、iOS画像を処理するためのiOS_aptも含まれています。
注:WindowsおよびMacOSでPython 3.12までテストされています。
Axiomが作成したAxiomが作成したターゲットコレクションZIPファイルを読み取ることができます
iOS_aptは、Graykey抽出ファイルシステムを読み取ることができます
spain reconを読み取ることができ、ASLAは.sparseimageファイルを作成しました
macOSビッグサルシールボリュームのサポート(11.0)
iOS/iPados画像を処理するためのiOS_aptの導入
✔️高速モード⏳
password/Recovery-Keyを使用して、暗号化されたAPFS画像を処理できるようになりましたか?
macosカタリナ(10.15+)別々にマウントされたシステムとデータボリュームがサポートされるようになりました
✔️AFF4画像(作成されたMacisition/DigitalCollectorを含む)がサポートされています
| 利用可能なプラグイン(解析されたアーティファクト) | 説明 |
|---|---|
| 応募者 | Applist.datから各ユーザーがインストールおよび/または使用可能なアプリとプリンターを読み取ります |
| ard | ARD(Appleリモートデスクトップ)のキャッシュデータベースについては、アプリの使用に関するデータベースを読み取ります |
| ASL | asl.log、asl.db、および ".asl"ファイルからasl(Apple Systemログ)を読み取ります |
| AutoStart | プログラム、Daemons、ServicesがBoot/Loginから開始するように設定されています |
| BasicInfo | SN、TimeZone、コンピューター名、最終ログインユーザー、HFS情報などの基本マシンとOS構成 |
| ブルートゥース | Bluetoothアーティファクトを取得します |
| CallHistory | 通話履歴データベースを読み取ります |
| cfurlcache | CFURLキャッシュをURL、リクエスト、応答に読み取ります |
| クロム | Chromiumブラウザ(Edge、Chrome、Opera、..)の履歴、トップサイト、ダウンロード、拡張情報を読む |
| クッキー | .binarycookies、.cookiesファイル、および各ユーザーのhsts.plistを読み取ります |
| クラッシュレポーター | クラッシュレポータープリストを読みます |
| dockitems | すべてのユーザーのドックプリストを読み取ります |
| 文書化 | DocumentRevisionsデータベースを読み取ります |
| ドメイン | Macが接続されているアクティブディレクトリドメイン |
| ファイルシェアリング | 共有フォルダー情報をお読みください |
| Firefox | Mozilla Firefoxブラウザからインターネット履歴を読んでください |
| fsevents | ファイルシステムイベントログを読み取ります(.fseventsdから) |
| idevicebackups | iPhone/iPadバックアップデータベースを読み取り、エクスポートします |
| ideviceinfo | 接続されたIDEVICEの詳細を読み取り、エクスポートします |
| imessage | imessageチャットを読んでください |
| InetAccounts | 構成されたインターネットアカウントを取得する(iCloud、Google、LinkedIn、Facebook ..) |
| installhistory | ソフトウェアのインストール履歴 |
| Msoffice | 単語、Excel、PowerPoint、その他のオフィスMRU/アクセスファイルパスを読み取ります |
| MSRDC | Microsoft Remote Desktopデータベースから接続履歴を読み取り、サムネイルを抽出します |
| Netusage | アプリケーションごとのネットワーク使用データ統計を読み取ります |
| ネットワーキング | インターフェイス、最後のIPアドレス、MACアドレス、DHCP。 |
| メモ | メモデータベースを読み取ります |
| 通知 | 各ユーザーのMac通知データを読み取ります |
| printjobs | Parses Cupsプリントジョブをスプールして、プリンターに送信されたファイル/コマンドに関する情報を取得します |
| 検疫 | 隔離データベースと.lastgkRejectファイルを読み取ります |
| Quicklook | Quicklook index.sqliteを読み取り、サムネイルからサムネイルを彫ります |
| 最近の項目 | 最近、.plistおよび.sflファイルからサーバー、ドキュメント、ホスト、ボリューム、およびアプリケーションにアクセスしました。また、各ユーザーの最近の検索と場所を取得します |
| サファリ | インターネット履歴、ダウンロードされたファイル情報、Cookieなど、Safariキャッシュからその他 |
| SavedState | 保存されたアプリケーション状態情報からウィンドウタイトルを取得します |
| スクリーンシェアリング | 接続されたホストのリストを画面共有で読み取ります |
| スクリーンタイム | プログラムとアプリの使用に関するスクリーンタイムデータベースを読み取ります |
| スポットライト | Spotlight Indexデータベースを読み取ります |
| SpotlightShortCuts | スポットライトバーとターゲットドキュメント/アプリのユーザータイプデータ |
| sudolastrun | 最後にsudoが使用され、その他数回以前に使用されます(利用可能な場合) |
| TCC | 透明性、同意、制御(TCC)データベースを読み取ります |
| ターミナルステート | ターミナルウィンドウの全文コンテンツを含む端子保存された状態ファイルを読み取ります |
| 用語 | すべてのユーザーの端末(bash&zsh)履歴とセッションを読み取ります |
| ユニファイドログ | .tracev3ファイルからMacOS Unifiedロギングログを読み取ります |
| ユーザー | ローカルおよびドメインのユーザー情報 - 名前、UID、UUID、GID、アカウントの作成とパスワードの設定日付、パスヒント、Homedir&Darwin Paths |
| utmpx | utmpxファイルを読み取ります |
| WI-FI | WiFiネットワーク情報を取得します |
| Xprotect | Xprotect Diagnostic FilesとXprotect Behavior Serviceデータベースを読み取ります |
(コードから実行するには)https://github.com/ydkhatri/mac_apt/wiki/installation-for-python3を参照してください
ここでドキュメントをご覧ください: https://github.com/ydkhatri/mac_apt/wiki
Windowsバイナリをダウンロードするには、https://github.com/ydkhatri/mac_apt/releasesをご覧ください
[email protected]にコメントやフィードバックをお気軽に送信するか、問題を開きます。
