OSXCollector:macOS/OSX的取证证据收集和分析工具包
- 发表于
- 安全工具
- 303 阅读
OSXCollector取证工具
OSXCollector是macOS/OSX的取证证据收集和分析工具包,集合脚本在可能受感染的计算机上运行,并输出描述目标计算机的JSON文件。OSXCollector从plist,SQLite数据库和本地文件系统信息收集。
分析
有了OSXCollector,安全分析师可以确定如下问题:
- 这台机器被感染了吗?
- 恶意软件是如何实现的?
- 如何预防和检测进一步的感染?
OSXCollector使用
osxcollector.py是一个单独的Python文件,它在标准OSX机器上没有任何依赖性。这使得在任何机器上运行集合变得非常容易 - 无需使用brew,pip,配置文件或环境变量。只需将单个文件复制到计算机上即可运行。
1 2 | $ sudo python osxcollector.py 报告输出: osxcollect-2019_07_21-08_49_39.tar.gz |
取证工具输出报告的JSON输出以及系统日志等一些有用的文件已压缩到.tar.gz中,以便传递给安全分析师。
osxcollector.py 还有很多有用的选项来改变集合的工作方式:
-p ROOTPATH/--path=ROOTPATH: 设置要运行集合的文件系统根目录的路径。默认值为/。这非常适合在磁盘映像上运行集合。
1 | $ sudo osxcollector.py -p '/mnt/powned' |
-s SECTION/--section=SECTION: 仅运行完整集合的一部分。可以多次指定。完整的取证信息收集列表:
- version
- system_info
- kext
- startup
- launch_agents
- scripting_additions
- startup_items
- login_items
- applications
- applications
- install_history
- quarantines
- downloads
- downloads
- email_downloads
- old_email_downloads
- chrome
- history
- archived_history
- cookies
- login_data
- top_sites
- web_data
- databases
- local_storage
- preferences
- firefox
- cookies
- downloads
- formhistory
- history
- signons
- permissions
- addons
- extension
- content_prefs
- health_report
- webapps_store
- json_files
- safari
- downloads
- history
- extensions
- databases
- localstorage
- extension_files
- accounts
- system_admins
- system_users
- social_accounts
- recent_items
- full_hash
1 | $ sudo osxcollector.py -s 'startup' -s 'downloads' |
OSXCollector拥有更多详细的介绍与参数设定,查看更多使用帮助。
OSXCollector下载
1 | git clone https://github.com/Yelp/osxcollector |
原文连接:OSXCollector:macOS/OSX的取证证据收集和分析工具包 所有媒体,可在保留署名、
原文连接的情况下转载,若非则不得使用我方内容。
