OSXCollector:macOS/OSX的取证证据收集和分析工具包

OSXCollector取证工具

OSXCollector是macOS/OSX的取证证据收集和分析工具包,集合脚本在可能受感染的计算机上运行,​​并输出描述目标计算机的JSON文件。OSXCollector从plist,SQLite数据库和本地文件系统信息收集

OSX取证工具
macOS/OSX取证证据收集和分析工具包

分析

有了OSXCollector,安全分析师可以确定如下问题:

  • 这台机器被感染了吗?
  • 恶意软件是如何实现的?
  • 如何预防和检测进一步的感染?

OSXCollector使用

osxcollector.py是一个单独的Python文件,它在标准OSX机器上没有任何依赖性。这使得在任何机器上运行集合变得非常容易 - 无需使用brew,pip,配置文件或环境变量。只需将单个文件复制到计算机上即可运行。

$ sudo python osxcollector.py
报告输出: osxcollect-2019_07_21-08_49_39.tar.gz

取证工具输出报告的JSON输出以及系统日志等一些有用的文件已压缩到.tar.gz中,以便传递给安全分析师。

osxcollector.py 还有很多有用的选项来改变集合的工作方式:

-p ROOTPATH/--path=ROOTPATH: 设置要运行集合的文件系统根目录的路径。默认值为/。这非常适合在磁盘映像上运行集合。

$ sudo osxcollector.py -p '/mnt/powned'

-s SECTION/--section=SECTION: 仅运行完整集合的一部分。可以多次指定。完整的取证信息收集列表:

  • version
  • system_info
  • kext
  • startup
    • launch_agents
    • scripting_additions
    • startup_items
    • login_items
  • applications
    • applications
    • install_history
  • quarantines
  • downloads
    • downloads
    • email_downloads
    • old_email_downloads
  • chrome
    • history
    • archived_history
    • cookies
    • login_data
    • top_sites
    • web_data
    • databases
    • local_storage
    • preferences
  • firefox
    • cookies
    • downloads
    • formhistory
    • history
    • signons
    • permissions
    • addons
    • extension
    • content_prefs
    • health_report
    • webapps_store
    • json_files
  • safari
    • downloads
    • history
    • extensions
    • databases
    • localstorage
    • extension_files
  • accounts
    • system_admins
    • system_users
    • social_accounts
    • recent_items
  • mail
  • full_hash
$ sudo osxcollector.py -s 'startup' -s 'downloads'

OSXCollector拥有更多详细的介绍与参数设定,查看更多使用帮助

OSXCollector下载

git clone https://github.com/Yelp/osxcollector