OSXCollector是macOS/OSX的取证证据收集和分析工具包,集合脚本在可能受感染的计算机上运行,并输出描述目标计算机的JSON文件。OSXCollector从plist,SQLite数据库和本地文件系统信息收集。
有了OSXCollector,安全分析师可以确定如下问题:
osxcollector.py
是一个单独的Python文件,它在标准OSX机器上没有任何依赖性。这使得在任何机器上运行集合变得非常容易 - 无需使用brew,pip,配置文件或环境变量。只需将单个文件复制到计算机上即可运行。
1 2 |
$ sudo python osxcollector.py 报告输出: osxcollect-2019_07_21-08_49_39.tar.gz |
取证工具输出报告的JSON输出以及系统日志等一些有用的文件已压缩到.tar.gz中,以便传递给安全分析师。
osxcollector.py
还有很多有用的选项来改变集合的工作方式:
-p ROOTPATH
/--path=ROOTPATH
: 设置要运行集合的文件系统根目录的路径。默认值为/
。这非常适合在磁盘映像上运行集合。
1 |
$ sudo osxcollector.py -p '/mnt/powned' |
-s SECTION
/--section=SECTION
: 仅运行完整集合的一部分。可以多次指定。完整的取证信息收集列表:
1 |
$ sudo osxcollector.py -s 'startup' -s 'downloads' |
OSXCollector拥有更多详细的介绍与参数设定,查看更多使用帮助。
1 |
git clone https://github.com/Yelp/osxcollector |