mac_apt
v1.7.5-dev
MAC_APT - это инструмент DFIR (цифровой криминалистической и инцидентной реакции) для обработки полных изображений (или живых машин ( или живых машин ) и извлечения данных/метаданных, полезных для судебного расследования. Это фреймворк на основе Python, которая имеет плагины для обработки отдельных артефактов (например, история сафари в Интернете, сетевые интерфейсы, недавно доступные файлы и тома, ..)
Mac_apt теперь также включает в себя iOS_APT для обработки изображений iOS.
ПРИМЕЧАНИЕ. Протестировано на Python 3.12 на Windows и MacOS.
✔ может читать аксиому, созданные целевые файлы Zip Collection
✔ IOS_APT может читать извлеченную файловую систему Graykey
✔ может читать Recon и Asla, созданные.
✔ Поддержка для герметичных объемов MacOS Big Sur (11.0)
✔ Представление iOS_APT для обработки изображений iOS/iPados
✔ Быстрый режим ⏳
✔ Зашифрованные APFS Изображения теперь могут быть обработаны с помощью пароля/под ключ?
✔ MacOS Catalina (10.15+) отдельно монтированная система и объемы данных теперь поддерживаются
✔ Поддержаны изображения AFF4 (включая Macquisition/DigitalCollector)
| Доступные плагины (артефакты анализируются) | Описание |
|---|---|
| Прикладчик | Приложения для чтения и принтеры установлены и/или доступны для каждого пользователя от Applicist.dat |
| Ард | Чтения ARD (Apple Remote Desktop) Кэшированные базы данных об использовании приложений |
| Асл | Читает ASL (журнал системы Apple) из файлов ASL.Log, ASL.DB и ".ASL" |
| AutoStart | Получение программ, Daemons, Services, установленные для запуска по адресу boot/login |
| BasicInfo | Базовая конфигурация машины и ОС, такую как SN, Timezone, имя компьютера, последний зарегистрированный пользователь, HFS Info |
| BLUETOOTH | Получает артефакты Bluetooth |
| Callhistory | Чтения базы данных истории вызовов |
| Cfurlcache | Читает кеш CFURL для URL -адресов, запросов и ответов |
| Хром | Читать браузеры Chromium (Edge, Chrome, Opera, ..) История, главные сайты, загрузки и информация о расширении |
| Печенье | Reads .binarycookies, .cookies files и hsts.plist для каждого пользователя |
| Crashreporter | Читает репортерные плисты аварии |
| Dockitems | Читает док -плист для каждого пользователя |
| DocumentRevisions | Прочитает базу данных DocumentRevisions |
| Домены | Active Directory Domain (ы), к которым подключен Mac |
| Филиш | Читать информацию об общей папке |
| Firefox | Читать историю Интернета из браузера Mozilla Firefox |
| Fsevents | Чтение журналов событий файловой системы (от .fseventsd) |
| Idevicebackups | Считывает и экспортирует базы данных резервного копирования iPhone/iPad |
| Ideviceinfo | Чтения и экспорта подключенных деталей iDevice |
| Imessage | Читайте чаты imessage |
| Inetaccounts | Получить настроенные интернет -учетные записи (iCloud, Google, LinkedIn, Facebook ..) |
| Установка | История установки программного обеспечения |
| MSOFFICE | Читает Word, Excel, PowerPoint и другие офисные MRU/доступ к файлам. |
| MSRDC | Считает историю подключения из базы данных Microsoft Remote Desktop и извлекает миниатюры |
| Netusage | Прочитать статистику данных об использовании сети по приложению |
| Сеть | Интерфейсы, последний IP -адрес, MAC -адрес, DHCP .. |
| ПРИМЕЧАНИЯ | Читает базы данных примечаний |
| Уведомления | Считает данные уведомления Mac для каждого пользователя |
| Printjobs | Самошерские чашки с питательными чашками |
| КАРАНТИН | Считает базу данных карантина и файла .lastgkreject |
| QuickLook | Читает индекс QuickLook.sqlite и вырезает миниатюры от Thumbnails.data |
| Несколько последних | Недавно доступные серверы, документы, хосты, тома и приложения из файлов .plist и .sfl. Также получает последние поиски и места для каждого пользователя |
| САФАРИ | История Интернета, загруженная информация о файлах, файлы cookie и многое другое из сафари |
| Спасенный штат | Получает заголовки окон из сохраненной информации о состоянии приложения |
| Распространение экрана | Читает список подключенных хостов с обменом экрана |
| Экранинг | Прочитает базу данных Screentime для использования программы и приложений |
| Прожектор | Читает базы данных индекса Spotlight |
| SpotlightShortcuts | Пользовательские данные навсегда |
| Sudolastrun | Получил последний раз, когда использовался Sudo, а несколько раз раньше (если таковые имеются) |
| TCC | Считает базу данных прозрачности, согласия и управления (TCC) |
| Терминалстат | Считает файлы сохраненных состояний терминала, который включает в себя полное текстовое содержимое терминала Windows |
| Условия | Читать историю и сетки терминала (Bash & zsh) для каждого пользователя |
| Unifiedlogs | Читает журналы журнала журнала MacOS Unified из файлов .tracev3 |
| Пользователи | Информация о пользователе Local & Domain - имя, UID, UUID, GID, создание учетной записи и даты установки пароля, Pass Hints, Homedir & Darwin Paths |
| UTMPX | Читает файл UTMPX |
| WI-FI | Получает информацию о сети Wi -Fi |
| Xprotect | Считает Xprotect Diagnostic Files и базу данных службы поведения Xprotect |
Для установки (для запуска из кода) см. Https://github.com/ydkhatri/mac_apt/wiki/installation-for-python3
Пожалуйста, прочитайте документацию здесь: https://github.com/ydkhatri/mac_apt/wiki
Чтобы загрузить двоичные файлы Windows, перейдите здесь - https://github.com/ydkhatri/mac_apt/releases
Не стесняйтесь отправлять комментарии и отзывы на [email protected] или откройте проблему.
