mac_apt
v1.7.5-dev
Mac_apt é uma ferramenta DFIR (Digital Forensics and Incrediber Response) para processar imagens de disco completa do computador MAC ( ou máquinas vivas ) e extrair dados/metadados úteis para investigação forense. É uma estrutura baseada em Python, que possui plugins para processar artefatos individuais (como Histórico da Internet Safari, interfaces de rede, arquivos e volumes acessados recentemente, ..)
Mac_apt agora também inclui iOS_APT , para processar imagens iOS.
Nota: testado até o Python 3.12 no Windows e MacOS.
✔️ pode ler os arquivos zip de coleta segmentados do Axiom
✔️ ios_apt pode ler o sistema de arquivos extraído GrayKey
✔️ pode ler Recon e ASLA criados.
✔️ Suporte para MacOS Big Sur Seled Volumes (11.0)
✔️ Apresentando iOS_APT para processamento de imagens iOS/iPados
✔️ Modo rápido ⏳
✔️ As imagens APFs criptografadas agora podem ser processadas usando senha/chave de recuperação?
✔️ MacOS Catalina (10.15+) Sistema montado separadamente e volumes de dados agora suportados
Images Imagens AFF4 (incluindo Macquisition/DigitalCollector criadas) são suportadas
| Plugins disponíveis (artefatos analisados) | Descrição |
|---|---|
| Applista | Leia aplicativos e impressoras instaladas e/ou disponíveis para cada usuário do applist.dat |
| Ard | Lê bancos de dados em cache do ARD (Apple Remote Desktop) sobre o uso de aplicativos |
| ASL | Lê os arquivos ASL (Apple System Log) da ASL.Log, ASL.DB e ".ASL" |
| AutoStart | Recupera programas, daemons, serviços definidos para começar em inicialização/login |
| Basicinfo | Configuração básica de máquina e OS, como SN, fuso horário, nome do computador, último usuário logado, Informações do HFS |
| BLUETOOTH | Obtém artefatos Bluetooth |
| Callhistory | Lê o banco de dados de histórico de chamadas |
| Cfurlcache | Lê cache CFURL para URLs, solicitações e respostas |
| Cromo | Leia os navegadores de cromo (Edge, Chrome, Opera, ..) História, os principais sites, downloads e informações de extensão |
| Biscoitos | Lê .binarycookies, .cookies arquivos e hsts.plist para cada usuário |
| CrashReporter | Lê pratões repórter do Crash |
| DockItems | Lê o dock Plist para todos os usuários |
| DocumentRevisions | Lê o DocumentReVisions Database |
| Domínios | Domínio (s) do Active Directory (s) que o Mac está conectado a |
| Compartilhamento de arquivos | Leia informações da pasta compartilhada |
| Firefox | Leia o histórico da Internet da Mozilla Firefox Browser |
| FSEVENTS | Lê logs de eventos do sistema de arquivos (de .fseventsd) |
| Idevicebackups | Leia e exporta bancos de dados de backup para iPhone/iPad |
| IdeviceInfo | Leia e exportações Detalhes do Idevice conectados |
| IMessage | Leia os bate -papos de iMessage |
| Inetaccounts | Recuperar contas de internet configuradas (iCloud, Google, LinkedIn, Facebook ..) |
| InstallHistory | Histórico de instalação de software |
| MsOffice | Lê o Word, Excel, PowerPoint e outros caminhos de arquivo/acessórios para o Office/Acessado |
| MSRDC | Lê o histórico de conexões do Microsoft Remote Desktop Database e extrai miniaturas |
| Netusage | Leia as estatísticas de dados de uso da rede por aplicativo |
| Networking | Interfaces, último endereço IP, endereço MAC, DHCP .. |
| Notas | Lê bancos de dados de notas |
| Notificações | Lê dados de notificação Mac para cada usuário |
| PrintJobs | Parses Cups trabalhos impressos em spool para obter informações sobre arquivos/comandos enviados para uma impressora |
| QUARENTENA | Lê o banco de dados de quarentena e o arquivo .lastgkreject |
| Quicklook | Lê o índice do Quicklook.sqlite e esculpia miniaturas de miniaturas.data |
| Receio | Servidores, documentos, hosts, volumes e aplicativos acessados recentemente, dos arquivos .plist e .sfl. Também recebe pesquisas e lugares recentes para cada usuário |
| SAFÁRI | História da Internet, Informações de arquivo baixadas, cookies e muito mais de cachos de safari |
| SAVEDSTATE | Obtém títulos de janelas de informações salvas de estado do aplicativo |
| Screensharing | Lê a lista de hosts conectados com compartilhamento de tela |
| TEMPORTIMENTO | Lê o banco de dados de screentime para uso do programa e aplicativo |
| Spotlight | Lê os bancos de dados do índice de destaque |
| SpotlightShortcuts | Dados digitados pelo usuário na barra de destaque e documento/aplicativo direcionado |
| Sudolastrun | Recebe a última vez que o sudo foi usado e algumas outras vezes antes (se disponível) |
| TCC | Lê o banco de dados de transparência, consentimento e controle (TCC) |
| TerminalState | Leia os arquivos estaduais salvos do terminal, que incluem conteúdo de texto completo das janelas do terminal |
| Termos | Lê o Terminal (Bash & Zsh) História e sesões para todos os usuários |
| UnifiedLogs | Lê os logs de log unificados do MacOS de arquivos .Tracev3 |
| USUÁRIOS | Informações do usuário local e de domínio - Nome, UID, UUID, GID, Criação de contas e datas de conjunto de senha, dicas de aprovação, Homedir & Darwin |
| Utmpx | Lê o arquivo utmpx |
| WI-FI | Obtém informações de rede wifi |
| XProtect | Lê arquivos de diagnóstico XProtect e banco de dados de serviço de comportamento XProtect |
Para instalação (para executar do código), consulte https://github.com/ydkhatri/mac_apt/wiki/installation-for-python3
Leia a documentação aqui: https://github.com/ydkhatri/mac_apt/wiki
Para baixar binários do Windows, prossiga aqui - https://github.com/ydkhatri/mac_apt/releasesas
Sinta -se à vontade para enviar comentários e feedback para [email protected] ou abrir um problema.
