mac_apt
v1.7.5-dev
MAC_APT เป็นเครื่องมือ DFIR (Digital Forensics และเหตุการณ์การตอบสนอง) เพื่อประมวลผลภาพดิสก์คอมพิวเตอร์เต็มรูปแบบ MAC ( หรือเครื่อง สด ) และแยกข้อมูล/ข้อมูลเมตาที่เป็นประโยชน์สำหรับการตรวจสอบทางนิติเวช มันเป็นเฟรมเวิร์กที่ใช้ Python ซึ่งมีปลั๊กอินในการประมวลผลสิ่งประดิษฐ์แต่ละรายการ (เช่นประวัติอินเทอร์เน็ต Safari, อินเทอร์เฟซเครือข่าย, ไฟล์และเล่มที่เข้าถึงได้เมื่อเร็ว ๆ นี้, .. )
Mac_apt ตอนนี้ยังมี iOS_APT สำหรับการประมวลผลภาพ iOS
หมายเหตุ: ทดสอบไม่เกิน Python 3.12 บน Windows และ MacOS
✔สามารถอ่าน Axiom ที่สร้างไฟล์ซิปคอลเลกชันเป้าหมายที่สร้างขึ้นได้
✔ ios_apt สามารถอ่านระบบไฟล์ที่แยกเป็นสีเทาคีย์ได้
✔สามารถอ่าน Recon และ ASLA สร้างไฟล์. sparseimage
✔รองรับ MacOS Big Sur ปริมาณที่ปิดผนึก (11.0)
✔แนะนำ iOS_APT สำหรับการประมวลผลภาพ iOS/iPados
✔โหมดเร็ว⏳
✔ภาพ APFS ที่เข้ารหัสสามารถประมวลผลได้โดยใช้รหัสผ่าน/การกู้คืนคีย์?
✔ macOS catalina (10.15+) ที่ติดตั้งด้วยระบบและปริมาณข้อมูลที่ได้รับการสนับสนุนในขณะนี้
✔ภาพ AFF4 (รวมถึง Macquisition/DigitalCollector ที่สร้างขึ้น) ได้รับการสนับสนุน
| ปลั๊กอินที่มีอยู่ (แยกวิเคราะห์สิ่งประดิษฐ์) | คำอธิบาย |
|---|---|
| เครื่องประดับ | อ่านแอพและเครื่องพิมพ์ที่ติดตั้งและ/หรือพร้อมใช้งานสำหรับผู้ใช้แต่ละคนจาก Apprist.dat |
| อาร์ด | อ่าน ARD (Apple Remote Desktop) ฐานข้อมูลแคชเกี่ยวกับการใช้แอพพลิเคชั่น |
| ASL | อ่าน ASL (บันทึกระบบ Apple) จากไฟล์ ASL.LOG, ASL.DB และ ".ASL" |
| การเริ่มต้นอัตโนมัติ | ดึงโปรแกรม daemons, บริการที่เริ่มต้นที่ boot/login |
| ขั้นพื้นฐาน | การกำหนดค่าเครื่องพื้นฐานและระบบปฏิบัติการเช่น SN, เขตเวลา, ชื่อคอมพิวเตอร์, ผู้ใช้เข้าสู่ระบบล่าสุด, ข้อมูล HFS |
| บลูทู ธ | รับสิ่งประดิษฐ์บลูทู ธ |
| เกี่ยวกับความคึกคัก | อ่านฐานข้อมูลประวัติการโทร |
| cfurlcache | อ่านแคช CFURL ไปยัง URL คำขอและคำตอบ |
| โครเมียม | อ่านเบราว์เซอร์โครเมียม (ขอบ, โครเมี่ยม, โอเปร่า, .. ) ประวัติ, ไซต์ยอดนิยม, การดาวน์โหลดและข้อมูลส่วนขยาย |
| คุกกี้ | อ่าน. binarycookies, .cookies ไฟล์และ hsts.plist สำหรับผู้ใช้แต่ละคน |
| CrashReporter | อ่าน crash Reporter Plists |
| Dockitems | อ่าน Dock Plist สำหรับผู้ใช้ทุกคน |
| DocumentRevisions | อ่านฐานข้อมูล DocumentRevisions |
| โดเมน | โดเมน Active Directory ที่ Mac เชื่อมต่อกับ |
| การแบ่งไฟล์ | อ่านข้อมูลโฟลเดอร์ที่แชร์ |
| Firefox | อ่านประวัติอินเทอร์เน็ตจากเบราว์เซอร์ Mozilla Firefox |
| fsevents | อ่านบันทึกเหตุการณ์ระบบไฟล์ (จาก. fseventsd) |
| iDevicebackups | อ่านและส่งออกฐานข้อมูลสำรอง iPhone/iPad |
| iDeviceinfo | อ่านและส่งออกรายละเอียด iDevice ที่เชื่อมต่อ |
| iMessage | อ่านแชท iMessage |
| inetaccounts | ดึงบัญชีอินเทอร์เน็ตที่กำหนดค่าไว้ (iCloud, Google, LinkedIn, Facebook .. ) |
| การติดตั้ง | ประวัติการติดตั้งซอฟต์แวร์ |
| msoffice | อ่าน Word, Excel, PowerPoint และ Office อื่น ๆ MRU/เส้นทางไฟล์ที่เข้าถึงได้ |
| MSRDC | อ่านประวัติการเชื่อมต่อจากฐานข้อมูลเดสก์ท็อประยะไกลของ Microsoft และแยกรูปขนาดย่อ |
| การทำซ้ำ | อ่านสถิติข้อมูลการใช้งานเครือข่ายต่อแอปพลิเคชัน |
| การสร้างเครือข่าย | อินเตอร์เฟสที่อยู่ IP ล่าสุดที่อยู่ MAC, DHCP .. |
| หมายเหตุ | อ่านบันทึกฐานข้อมูล |
| การแจ้งเตือน | อ่านข้อมูลการแจ้งเตือน Mac สำหรับผู้ใช้แต่ละคน |
| printjobs | Parses Cups Spooled Print Jobs เพื่อรับข้อมูลเกี่ยวกับไฟล์/คำสั่งที่ส่งไปยังเครื่องพิมพ์ |
| การกักกัน | อ่านฐานข้อมูลการกักกันและไฟล์. lastgkreject |
| ล็อตล็อต | อ่าน quicklook index.sqlite และแกะสลักรูปขนาดย่อจากรูปขนาดย่อ data |
| ล่าสุด | เซิร์ฟเวอร์ที่เข้าถึงได้เมื่อเร็ว ๆ นี้เอกสารโฮสต์ปริมาณและแอปพลิเคชันจากไฟล์. plist และ. sfl ยังได้รับการค้นหาและสถานที่ล่าสุดสำหรับผู้ใช้แต่ละคน |
| ซาฟารี | ประวัติอินเทอร์เน็ตข้อมูลไฟล์ที่ดาวน์โหลดคุกกี้และอื่น ๆ จากแคชซาฟารี |
| บันทึก | รับชื่อหน้าต่างจากข้อมูลสถานะแอปพลิเคชันที่บันทึกไว้ |
| การแสดงภาพหน้าจอ | อ่านรายการโฮสต์ที่เชื่อมต่อด้วยการแชร์หน้าจอ |
| ภาพหน้าจอ | อ่านฐานข้อมูลหน้าจอสำหรับการใช้โปรแกรมและแอพ |
| สปอตไลท์ | อ่านฐานข้อมูลดัชนี Spotlight |
| Spotlightshortcuts | ผู้ใช้พิมพ์ข้อมูลในแถบสปอตไลท์และเอกสาร/แอปเป้าหมาย |
| Sudolastrun | ได้รับการใช้ครั้งสุดท้ายของ sudo และอีกไม่กี่ครั้งก่อนหน้านี้ (ถ้ามี) |
| TCC | อ่านฐานข้อมูลความโปร่งใสการยินยอมและการควบคุม (TCC) |
| เทอร์มินัล | อ่านไฟล์สถานะที่บันทึกเทอร์มินัลซึ่งมีเนื้อหาข้อความเต็มของ Windows เทอร์มินัล |
| ข้อตกลง | อ่านประวัติและ sesions เทอร์มินัล (bash & zsh) สำหรับผู้ใช้ทุกคน |
| Unifiedlogs | อ่านบันทึกการบันทึกการบันทึกรวม MacOS จากไฟล์. Tracev3 |
| ผู้ใช้ | ข้อมูลผู้ใช้ในพื้นที่และโดเมน - ชื่อ, uid, uuid, gid, การสร้างบัญชีและรหัสผ่านวันที่, คำแนะนำผ่าน, homedir & darwin paths |
| UTMPX | อ่านไฟล์ UTMPX |
| wifi | รับข้อมูลเครือข่าย wifi |
| xprotect | อ่านไฟล์การวินิจฉัย XProtect และฐานข้อมูลบริการพฤติกรรม XProtect |
สำหรับการติดตั้ง (เรียกใช้จากรหัส) ดู https://github.com/ydkhatri/mac_apt/wiki/installation-for-python3
โปรดอ่านเอกสารที่นี่: https://github.com/ydkhatri/mac_apt/wiki
หากต้องการดาวน์โหลด Windows Binaries ให้ดำเนินการที่นี่ - https://github.com/ydkhatri/mac_apt/releases
อย่าลังเลที่จะส่งความคิดเห็นและข้อเสนอแนะไปที่ [email protected] หรือเปิดปัญหา
