OSXCollector是macOS/OSX的取证证据收集和分析工具包,集合脚本在可能受感染的计算机上运行,​​并输出描述目标计算机的JSON文件。OSXCollector从plist,SQLite数据库和本地文件系统信息收集。

OSX取证工具

有了OSXCollector,安全分析师可以确定如下问题:

这台机器被感染了吗?
恶意软件是如何实现的?
如何预防和检测进一步的感染?
OSXCollector使用
osxcollector.py是一个单独的Python文件,它在标准OSX机器上没有任何依赖性。这使得在任何机器上运行集合变得非常容易 - 无需使用brew,pip,配置文件或环境变量。只需将单个文件复制到计算机上即可运行。

$ sudo python osxcollector.py

报告输出: osxcollect-2019_07_21-08_49_39.tar.gz

取证工具输出报告的JSON输出以及系统日志等一些有用的文件已压缩到.tar.gz中,以便传递给安全分析师。

osxcollector.py 还有很多有用的选项来改变集合的工作方式:

-p ROOTPATH/--path=ROOTPATH: 设置要运行集合的文件系统根目录的路径。默认值为/。这非常适合在磁盘映像上运行集合。

$ sudo osxcollector.py -p '/mnt/powned'

-s SECTION/--section=SECTION: 仅运行完整集合的一部分。可以多次指定。完整的取证信息收集列表:

version
system_info
kext
startup
launch_agents
scripting_additions
startup_items
login_items
applications
applications
install_history
quarantines
downloads
downloads
email_downloads
old_email_downloads
chrome
history
archived_history
cookies
login_data
top_sites
web_data
databases
local_storage
preferences
firefox
cookies
downloads
formhistory
history
signons
permissions
addons
extension
content_prefs
health_report
webapps_store
json_files
safari
downloads
history
extensions
databases
localstorage
extension_files
accounts
system_admins
system_users
social_accounts
recent_items
mail
full_hash
$ sudo osxcollector.py -s 'startup' -s 'downloads'

OSXCollector拥有更多详细的介绍与参数设定,查看更多使用帮助。

OSXCollector下载
git clone https://github.com/Yelp/osxcollector