mac_apt
v1.7.5-dev
MAC_APT是一种DFIR(数字取证和事件响应)工具,用于处理Mac计算机完整磁盘图像(或实时机器),并提取数据/元数据对法医研究有用。这是一个基于Python的框架,它具有用于处理各个工件的插件(例如Safari Internet历史记录,网络接口,最近访问的文件和卷,..)
MAC_APT现在还包括iOS_APT ,用于处理iOS图像。
注意:在Windows和MacOS上测试至Python 3.12。
✔️可以读取公理创建的目标收集zip文件
✔️IOS_APT可以读取GrayKey提取的文件系统
✔️可以读取侦察和asla创建的.sparseimage文件
✔️支持Macos Big Sur密封卷(11.0)
✔️介绍ios_apt处理iOS/iPados图像
✔️快速模式⏳
✔️现在可以使用密码/恢复键处理加密的APFS图像?
✔️MacosCatalina(10.15+)分别安装了系统和数据量
✔️AFF4图像(包括创建的宏观/数字计算机)得到了支持
| 可用的插件(解析工件) | 描述 |
|---|---|
| 应用者 | 读取Applist.dat中的每个用户已安装和/或可用的应用和/或可用的应用程序和/或 |
| ard | 读取有关应用程序使用的ARD(Apple Remote桌面)缓存数据库 |
| ASL | 读取ASL.LOG,ASL.DB和“ .ASL”文件的ASL(Apple System Log) |
| Autostart | 检索程序,守护程序,服务将从启动/登录开始 |
| BasicInfo | 基本机器和OS配置,例如SN,TimeZone,Computer Name,最后登录用户,HFS信息 |
| 蓝牙 | 获取蓝牙工件 |
| 呼叫史 | 读取通话历史数据库 |
| cfurlcache | 将CFURL缓存读取到URL,请求和响应 |
| 铬 | 阅读Chromium浏览器(Edge,Chrome,Opera,..)历史记录,顶级站点,下载和扩展信息 |
| 曲奇饼 | 读取.BinaryCookies,.cookies Files和hsts.plist |
| crashreporter | 读取Crash Reporter Plist |
| Dockitems | 为每个用户读取Dock Plist |
| DocumentRevisisions | 读取DocumentRevisions数据库 |
| 域 | Mac连接到的Active Directory域 |
| 文件共享 | 阅读共享文件夹信息 |
| Firefox | 从Mozilla Firefox浏览器中阅读互联网历史记录 |
| fsevents | 读取文件系统事件日志(来自.fseventsD) |
| IDEVICEBACKUP | 读取和导出iPhone/iPad备份数据库 |
| IDEVICEINFO | 读取和出口连接的IDEVICE详细信息 |
| iMessage | 阅读iMessage聊天 |
| InetAccounts | 检索配置的Internet帐户(iCloud,Google,LinkedIn,Facebook ..) |
| 安装史 | 软件安装历史记录 |
| msoffice | 读取Word,Excel,PowerPoint和其他办公室MRU/访问的文件路径 |
| MSRDC | 从Microsoft远程桌面数据库读取连接历史记录并提取缩略图 |
| 网努 | 读取每个应用程序的网络使用数据统计信息 |
| 联网 | 接口,最后一个IP地址,MAC地址,DHCP。 |
| 笔记 | 读取注释数据库 |
| 通知 | 为每个用户读取MAC通知数据 |
| printjobs | 解析杯子式船上打印作业,以获取有关发送到打印机的文件/命令的信息 |
| 隔离 | 读取隔离数据库和.lastgkreject文件 |
| Quicklook | 读取QuickLook index.sqlite和carves thumbnails.data的缩略图 |
| 最近的启动 | 最近访问了.plist和.sfl文件的服务器,文档,主机,卷和应用程序。还为每个用户提供了最新的搜索和地点 |
| 野生动物园 | 互联网历史记录,下载的文件信息,cookie等来自Safari Caches |
| 保存 | 从保存的应用程序状态信息获取窗口标题 |
| 屏幕记录 | 读取具有屏幕共享的连接主机列表 |
| 放映时间 | 读取用于程序和应用程序使用的屏幕时间数据库 |
| 聚光灯 | 读取聚光灯索引数据库 |
| SpotlightShortCuts | Spotlight Bar和目标文档/应用程序中的用户键入数据 |
| Sudolastrun | 上次使用sudo,然后又几次(如果有) |
| TCC | 读取透明度,同意和控制(TCC)数据库 |
| 终端 | 读取终端保存状态文件,其中包括终端窗口的全文内容 |
| 术语 | 为每个用户读取终端(bash&zsh)历史记录和Sesions |
| 统一 | 从.tracev3文件读取MacOS统一记录日志 |
| 用户 | 本地和域用户信息 - 名称,UID,UUID,GID,帐户创建和密码设置日期,通过提示,Homedir和Darwin Paths |
| UTMPX | 读取UTMPX文件 |
| 无线上网 | 获取WiFi网络信息 |
| xProtect | 读取Xprotect诊断文件和Xprotect行为服务数据库 |
有关安装(从代码运行)请参阅https://github.com/ydkhatri/mac_apt/wiki/installation-for-python3
请在此处阅读文档: https://github.com/ydkhatri/mac_apt/wiki
要下载Windows二进制文件,请继续此处-https://github.com/ydkhatri/mac_apt/releases
随时向[email protected]发送评论和反馈,或打开问题。
