mac_apt
v1.7.5-dev
MAC_APT는 MAC 컴퓨터 전체 디스크 이미지 ( 또는 라이브 머신 )를 처리하고 법의학 조사에 유용한 데이터/메타 데이터를 추출하는 DFIR (Digital Forensics and Incident Response) 도구입니다. Python 기반 프레임 워크로 개별 아티팩트를 처리하는 플러그인 (예 : Safari 인터넷 기록, 네트워크 인터페이스, 최근에 액세스 된 파일 및 볼륨 등)이 있습니다.
mac_apt는 이제 iOS 이미지를 처리하기위한 iOS_APT 도 포함합니다.
참고 : Windows 및 MacOS에서 Python 3.12까지 테스트했습니다.
✔️는 Axiom을 생성 한 대상 수집 ZIP 파일을 읽을 수 있습니다
✔️ iOS_APT는 Graykey 추출 파일 시스템을 읽을 수 있습니다
✔️은 Recon을 읽고 ASLA가 .sparseimage 파일을 작성했습니다
MACOS BIG SU SEAL이 봉인량에 대한 지원 (11.0)
iOS/iPados 이미지를 처리하기위한 iOS_APT 소개
✔️ 빠른 모드 mode
암호화 된 APFS 이미지는 이제 암호/복구 키를 사용하여 처리 할 수 있습니까?
✔️ MacOS Catalina (10.15+) 별도로 장착 된 시스템 및 데이터 볼륨이 지원됩니다.
✔️ AFF4 이미지 (MacQuisition/DigitalCollector 포함)가 지원됩니다
| 사용 가능한 플러그인 (Artifacts Parsed) | 설명 |
|---|---|
| Applist | Applist.dat에서 각 사용자에 대해 설치 및/또는 사용 가능한 앱 및 프린터를 읽습니다. |
| ard | 앱 사용에 대한 ARD (Apple Remote Desktop) 캐시 된 데이터베이스를 읽습니다. |
| ASL | ASL.LOG, ASL.DB 및 ".ASL"파일에서 ASL (Apple System Log)을 읽습니다. |
| AutosTart | 부팅/로그인시 시작하도록 설정된 프로그램, 데몬, 서비스를 검색합니다 |
| basicinfo | SN, TimeZone, 컴퓨터 이름, 마지막 로그인 사용자, HFS 정보와 같은 기본 머신 및 OS 구성 |
| 블루투스 | Bluetooth 아티팩트를 얻습니다 |
| Callhistory | 통화 이력 데이터베이스를 읽습니다 |
| cfurlcache | CFURL 캐시를 URL, 요청 및 응답으로 읽습니다 |
| 크롬 | Chromium 브라우저 (Edge, Chrome, Opera, ..) 이력, 상단 사이트, 다운로드 및 확장 정보 읽기 |
| 쿠키 | .BinaryCookies, .Cookies 파일 및 각 사용자에 대한 HSTS.Plist를 읽습니다 |
| CrashReporter | 충돌 기자가 읽는 것을 읽습니다 |
| Dockitems | 모든 사용자를위한 도크를 읽습니다 |
| DocumentRevisions | DocumentRevisions 데이터베이스를 읽습니다 |
| 도메인 | Mac이 연결된 Active Directory 도메인 |
| 파일 쉐어링 | 공유 폴더 정보를 읽으십시오 |
| 파이어 폭스 | Mozilla Firefox 브라우저에서 인터넷 기록을 읽으십시오 |
| fsevents | 파일 시스템 이벤트 로그를 읽습니다 (.fseventsd) |
| idevicebackups | iPhone/iPad 백업 데이터베이스를 읽고 내보내십시오 |
| ideviceinfo | 연결된 IDEVICE 세부 사항을 읽고 내보내십시오 |
| Imessage | iMessage 채팅을 읽으십시오 |
| inetAccounts | 구성된 인터넷 계정 검색 (iCloud, Google, LinkedIn, Facebook ..) |
| installhistory | 소프트웨어 설치 기록 |
| MSOFFICE | Word, Excel, PowerPoint 및 기타 사무실 MRU/액세스 파일 경로를 읽습니다. |
| MSRDC | Microsoft 원격 데스크탑 데이터베이스에서 연결 기록을 읽고 축소판을 추출합니다. |
| netusage | 응용 프로그램 당 네트워크 사용량 데이터 통계를 읽으십시오 |
| 네트워킹 | 인터페이스, 마지막 IP 주소, MAC 주소, DHCP .. |
| 메모 | 메모 데이터베이스를 읽습니다 |
| 알림 | 각 사용자의 Mac 알림 데이터를 읽습니다 |
| PrintJobs | Parses Cups 스풀 인쇄 작업을 위해 프린터로 전송 된 파일/명령에 대한 정보를 얻으려면 |
| 건강격리 | 검역 데이터베이스 및 .lastgkreject 파일을 읽습니다 |
| Quicklook | QuickLook Index.sqlite 및 Carves Thumbnails.data에서 썸네일을 읽습니다 |
| 최근 시합 | 최근에 .plist 및 .sfl 파일의 서버, 문서, 호스트, 볼륨 및 응용 프로그램에 액세스했습니다. 또한 각 사용자의 최근 검색 및 장소를 얻습니다 |
| 원정 여행 | 인터넷 기록, 다운로드 파일 정보, 쿠키 등 Safari 캐시 |
| Savedstate | 저장된 응용 프로그램 상태 정보에서 창 타이틀을 가져옵니다 |
| 스크린 하링 | 화면 공유가있는 연결된 호스트 목록을 읽습니다 |
| 스크린 타임 | 프로그램 및 앱 사용에 대한 Screentime 데이터베이스를 읽습니다 |
| 스포트라이트 | 스포트라이트 인덱스 데이터베이스를 읽습니다 |
| SpotlightShortcuts | 스포트라이트 바 및 대상 문서/앱에서 사용자 유형 데이터 |
| Sudolastrun | 지난번에 Sudo가 사용되었고 몇 번 더 일찍 시작됩니다 (사용 가능한 경우) |
| TCC | 투명성, 동의 및 제어 (TCC) 데이터베이스를 읽습니다 |
| 터미널 상태 | 터미널 창의 전체 텍스트 내용을 포함하는 터미널 저장된 상태 파일을 읽습니다. |
| 이용자 | 모든 사용자에 대한 터미널 (Bash & Zsh) 이력 및 세션을 읽습니다. |
| UnifiedLogs | .tracev3 파일에서 MacOS 통합 로깅 로그를 읽습니다 |
| 사용자 | 로컬 및 도메인 사용자 정보 - 이름, UID, UUID, GID, 계정 생성 및 비밀번호 세트 날짜, 패스 힌트, HomeDir & Darwin Paths |
| UTMPX | UTMPX 파일을 읽습니다 |
| 와이파이 | Wi -Fi 네트워크 정보를 얻습니다 |
| xprotect | xprotect 진단 파일 및 xprotect 동작 서비스 데이터베이스를 읽습니다 |
설치 (코드에서 실행)는 https://github.com/ydkhatri/mac_apt/wiki/installation-for-python3을 참조하십시오
https://github.com/ydkhatri/mac_apt/wiki를 읽으십시오
Windows Binaries를 다운로드하려면 여기에서 https://github.com/ydkhatri/mac_apt/releases를 진행하십시오
[email protected]으로 의견과 피드백을 보내거나 문제를여십시오.
