OSXCollector：macOS/OSX的取证证据收集和分析工具包

OSXCollector取证工具

OSXCollector是macOS/OSX的取证证据收集和分析工具包，集合脚本在可能受感染的计算机上运行，​​并输出描述目标计算机的JSON文件。OSXCollector从plist，SQLite数据库和本地文件系统信息收集。

分析

有了OSXCollector，安全分析师可以确定如下问题：

• 这台机器被感染了吗？
• 恶意软件是如何实现的？
• 如何预防和检测进一步的感染？

OSXCollector使用

osxcollector.py是一个单独的Python文件，它在标准OSX机器上没有任何依赖性。这使得在任何机器上运行集合变得非常容易 - 无需使用brew，pip，配置文件或环境变量。只需将单个文件复制到计算机上即可运行。

取证工具输出报告的JSON输出以及系统日志等一些有用的文件已压缩到.tar.gz中，以便传递给安全分析师。

osxcollector.py 还有很多有用的选项来改变集合的工作方式：

-p ROOTPATH/--path=ROOTPATH: 设置要运行集合的文件系统根目录的路径。默认值为/。这非常适合在磁盘映像上运行集合。

-s SECTION/--section=SECTION: 仅运行完整集合的一部分。可以多次指定。完整的取证信息收集列表：

• version
• system_info
• kext
• startup
  • launch_agents
  • scripting_additions
  • startup_items
  • login_items
• applications
  • applications
  • install_history
• quarantines
• downloads
  • downloads
  • email_downloads
  • old_email_downloads
• chrome
  • history
  • archived_history
  • cookies
  • login_data
  • top_sites
  • web_data
  • databases
  • local_storage
  • preferences
• firefox
  • cookies
  • downloads
  • formhistory
  • history
  • signons
  • permissions
  • addons
  • extension
  • content_prefs
  • health_report
  • webapps_store
  • json_files
• safari
  • downloads
  • history
  • extensions
  • databases
  • localstorage
  • extension_files
• accounts
  • system_admins
  • system_users
  • social_accounts
  • recent_items
• mail
• full_hash

OSXCollector拥有更多详细的介绍与参数设定，查看更多使用帮助。

OSXCollector下载