mac_apt
v1.7.5-dev
MAC_APT是一種DFIR(數字取證和事件響應)工具,用於處理Mac計算機完整磁盤圖像(或實時機器),並提取數據/元數據對法醫研究有用。這是一個基於Python的框架,它具有用於處理各個工件的插件(例如Safari Internet歷史記錄,網絡接口,最近訪問的文件和卷,..)
MAC_APT現在還包括iOS_APT ,用於處理iOS圖像。
注意:在Windows和MacOS上測試至Python 3.12。
✔️可以讀取公理創建的目標收集zip文件
✔️IOS_APT可以讀取GrayKey提取的文件系統
✔️可以讀取偵察和asla創建的.sparseimage文件
✔️支持Macos Big Sur密封卷(11.0)
✔️介紹ios_apt處理iOS/iPados圖像
✔️快速模式⏳
✔️現在可以使用密碼/恢復鍵處理加密的APFS圖像?
✔️MacosCatalina(10.15+)分別安裝了系統和數據量
✔️AFF4圖像(包括創建的宏觀/數字計算機)得到了支持
| 可用的插件(解析工件) | 描述 |
|---|---|
| 應用者 | 讀取Applist.dat中的每個用戶已安裝和/或可用的應用和/或可用的應用程序和/或 |
| ard | 讀取有關應用程序使用的ARD(Apple Remote桌面)緩存數據庫 |
| ASL | 讀取ASL.LOG,ASL.DB和“ .ASL”文件的ASL(Apple System Log) |
| Autostart | 檢索程序,守護程序,服務將從啟動/登錄開始 |
| BasicInfo | 基本機器和OS配置,例如SN,TimeZone,Computer Name,最後登錄用戶,HFS信息 |
| 藍牙 | 獲取藍牙工件 |
| 呼叫史 | 讀取通話歷史數據庫 |
| cfurlcache | 將CFURL緩存讀取到URL,請求和響應 |
| 鉻 | 閱讀Chromium瀏覽器(Edge,Chrome,Opera,..)歷史記錄,頂級站點,下載和擴展信息 |
| 餅乾 | 讀取.BinaryCookies,.cookies Files和hsts.plist |
| crashreporter | 讀取Crash Reporter Plist |
| Dockitems | 為每個用戶讀取Dock Plist |
| DocumentRevisisions | 讀取DocumentRevisions數據庫 |
| 域 | Mac連接到的Active Directory域 |
| 文件共享 | 閱讀共享文件夾信息 |
| Firefox | 從Mozilla Firefox瀏覽器中閱讀互聯網歷史記錄 |
| fsevents | 讀取文件系統事件日誌(來自.fseventsD) |
| IDEVICEBACKUP | 讀取和導出iPhone/iPad備份數據庫 |
| IDEVICEINFO | 讀取和出口連接的IDEVICE詳細信息 |
| iMessage | 閱讀iMessage聊天 |
| InetAccounts | 檢索配置的Internet帳戶(iCloud,Google,LinkedIn,Facebook ..) |
| 安裝史 | 軟件安裝歷史記錄 |
| msoffice | 讀取Word,Excel,PowerPoint和其他辦公室MRU/訪問的文件路徑 |
| MSRDC | 從Microsoft遠程桌面數據庫讀取連接歷史記錄並提取縮略圖 |
| 網努 | 讀取每個應用程序的網絡使用數據統計信息 |
| 聯網 | 接口,最後一個IP地址,MAC地址,DHCP。 |
| 筆記 | 讀取註釋數據庫 |
| 通知 | 為每個用戶讀取MAC通知數據 |
| printjobs | 解析杯子式船上打印作業,以獲取有關發送到打印機的文件/命令的信息 |
| 檢疫 | 讀取隔離數據庫和.lastgkreject文件 |
| Quicklook | 讀取QuickLook index.sqlite和carves thumbnails.data的縮略圖 |
| 最近的啟動 | 最近訪問了.plist和.sfl文件的服務器,文檔,主機,捲和應用程序。還為每個用戶提供了最新的搜索和地點 |
| 野生動物園 | 互聯網歷史記錄,下載的文件信息,cookie等來自Safari Caches |
| 保存 | 從保存的應用程序狀態信息獲取窗口標題 |
| 屏幕記錄 | 讀取具有屏幕共享的連接主機列表 |
| 放映時間 | 讀取用於程序和應用程序使用的屏幕時間數據庫 |
| 聚光燈 | 讀取聚光燈索引數據庫 |
| SpotlightShortCuts | Spotlight Bar和目標文檔/應用程序中的用戶鍵入數據 |
| Sudolastrun | 上次使用sudo,然後又幾次(如果有) |
| TCC | 讀取透明度,同意和控制(TCC)數據庫 |
| 終端 | 讀取終端保存狀態文件,其中包括終端窗口的全文內容 |
| 術語 | 為每個用戶讀取終端(bash&zsh)歷史記錄和Sesions |
| 統一 | 從.tracev3文件讀取MacOS統一記錄日誌 |
| 用戶 | 本地和域用戶信息 - 名稱,UID,UUID,GID,帳戶創建和密碼設置日期,通過提示,Homedir和Darwin Paths |
| UTMPX | 讀取UTMPX文件 |
| 無線上網 | 獲取WiFi網絡信息 |
| xProtect | 讀取Xprotect診斷文件和Xprotect行為服務數據庫 |
有關安裝(從代碼運行)請參閱https://github.com/ydkhatri/mac_apt/wiki/installation-for-python3
請在此處閱讀文檔: https://github.com/ydkhatri/mac_apt/wiki
要下載Windows二進製文件,請繼續此處-https://github.com/ydkhatri/mac_apt/releases
隨時向[email protected]發送評論和反饋,或打開問題。
