ydkhatri/mac_apt

# mac_apt - macOS (和 iOS) Artifact Parsing Tool [](https://github.com/ydkhatri/mac_apt/releases/tag/v1.29.0) []() mac_apt 是一个 DFIR（数字取证和事件响应）工具，用于处理 Mac 计算机的完整磁盘映像（**或_活动_机器**）并提取对取证调查有用的数据/元数据。它是一个基于 Python 的框架，该框架包含用于处理单个 artifacts（痕迹）的插件（例如 Safari 互联网历史记录、网络接口、最近访问的文件和卷等）。 mac_apt 现在还包含 **[ios_apt](https://swiftforensics.com/2020/12/introducing-iosapt-ios-artifact-parsing.html)**，用于处理 ios 映像。 #### 系统要求：Python 3.9 或更高版本（64 位） _注意：已在 Windows 和 macOS（ARM 和 x64）上针对 Python 3.14 进行测试。_ #### 功能特性 * 跨平台（不依赖 pyobjc） * 支持 E01, VMDK, AFF4, DD, split-DD, DMG (无压缩), SPARSEIMAGE, UAC collections, Velociraptor collected files (VR) 及挂载的映像 * 支持 XLSX, CSV, TSV, JSONL, Sqlite 输出格式 * 已分析的文件/artifacts 可导出以供后续审查 * 支持 zlib, lzvn, lzfse 压缩文件！ * 原生 HFS & APFS 解析器 * 读取 Spotlight 数据库 #### 最新动态 :heavy_check_mark: 可读取 Velociraptor 创建的目标收集 zip（当通过 [MacOS.Search.FileFinder](https://docs.velociraptor.app/artifact_references/pages/macos.search.filefinder/) 创建时） :heavy_check_mark: 可读取 Axiom 创建的目标收集 zip 文件 :heavy_check_mark: ios_apt 可读取 GrayKey 提取的文件系统 :heavy_check_mark: 可读取 [RECON](https://sumuri.com/software/recon-itr/), [FUJI](https://github.com/Lazza/Fuji) 和 [ASLA](https://github.com/giuseppetotaro/asla) 创建的 .sparseimage 文件 :heavy_check_mark: 可读取 [UAC](https://github.com/tclahr/uac) collections (ZIP, TAR, TAR.GZ) 文件 :heavy_check_mark: 支持 macOS Big Sur Sealed volumes (11.0) :heavy_check_mark: 推出 **ios_apt** 用于处理 iOS/ipadOS 映像 :heavy_check_mark: FAST 模式 :hourglass_flowing_sand: :heavy_check_mark: 现在可以使用密码/recovery-key :key: 处理加密的 :lock: APFS 映像 :heavy_check_mark: 支持 macOS Catalina (10.15+) 单独挂载的 SYSTEM & DATA 卷 :heavy_check_mark: 支持 AFF4 映像（包括 Macquisition/DigitalCollector 创建的） 可用插件（已解析的 artifacts） | 描述 ------------------ | --------------- APPLIST | 从 appList.dat 读取每个用户安装和/或可用的应用程序及打印机 ARD | 读取 ARD (Apple Remote Desktop) 关于应用使用的缓存数据库 ASL | 从 asl.log, asl.db 和 ".asl" 文件读取 ASL (Apple System Log) AUTOSTART | 获取设置为在启动/登录时运行的程序、daemons、服务 BASICINFO | 基本机器和操作系统配置，如 SN、timezone、计算机名、最后登录用户、HFS 信息 BLUETOOTH | 获取 Bluetooth Artifacts CALLHISTORY | 读取通话记录数据库 CFURLCACHE | 读取 CFURL 缓存中的 URL、请求和响应 CHROMIUM | 读取 Chromium 浏览器（Edge, Chrome, Opera 等）的历史记录、热门站点、下载和扩展信息 COOKIES | 读取每个用户的 .binarycookies, .cookies 文件和 HSTS.plist CRASHREPORTER | 读取崩溃报告 plists DOCKITEMS | 读取每个用户的 Dock plist DOCUMENTREVISIONS | 读取 DocumentRevisions 数据库 DOMAINS | Mac 连接的 Active Directory 域 FACETIME | 读取可用的 facetime 通话元数据 FILESHARING | 读取共享文件夹信息 FIREFOX | 读取 Mozilla Firefox 浏览器的互联网历史记录 FSEVENTS | 读取文件系统事件日志（来自 .fseventsd） ICLOUD | 提取 iCloud Drive 中存储的项目 IDEVICEBACKUPS | 读取并导出 iPhone/iPad 备份数据库 IDEVICEINFO | 读取并导出已连接的 iDevice 详情 IMESSAGE | 读取 iMessage 聊天记录 INETACCOUNTS | 获取已配置的互联网帐户（iCloud, Google, Linkedin, facebook 等） INSTALLHISTORY | 软件安装历史 KEYCHAINS | 读取 System keychain 并解密存储的密码 LAUNCHPAD | 读取每个用户的 launchpad 数据库 MSOFFICE | 读取 Word, Excel, Powerpoint 和其他 office 最近使用 (MRU)/访问的文件路径 MSRDC | 读取 Microsoft Remote Desktop 数据库的连接历史并提取缩略图 NETUSAGE | 读取每个应用程序的网络使用数据统计 NETWORKING | 接口、最后 IP 地址、MAC 地址、DHCP 等 NOTES | 读取备忘录数据库 NOTIFICATIONS | 读取每个用户的 mac 通知数据 PRINTJOBS | 解析 CUPS 假脱机打印作业，获取发送到打印机的文件/命令信息 QUARANTINE | 读取隔离数据库和 .LastGKReject 文件 QUICKLOOK | 读取 QuickLook index.sqlite 并从 thumbnails.data 中恢复缩略图 RECENTITEMS | 从 .plist 和 .sfl 文件获取最近访问的服务器、文档、主机、卷和应用程序。同时获取每个用户的最近搜索和地点 SAFARI | 来自 Safari 缓存的互联网历史记录、下载文件信息、cookies 等 SAVEDSTATE | 从 Saved Application State 信息获取窗口标题 SCREENSHARING | 读取通过屏幕共享连接的主机列表 SCREENTIME | 读取 ScreenTime 数据库以了解程序和应用使用情况 SPOTLIGHT | 读取 spotlight 索引数据库 SPOTLIGHTSHORTCUTS | 用户在 spotlight 栏中输入的数据及目标文档/应用 SUDOLASTRUN | 获取上次使用 sudo 的时间以及之前几次的时间（如果可用） TCC | 读取 Transparency, Consent and Control (TCC) 数据库 TERMINALSTATE | 读取 Terminal 保存的状态文件，其中包含终端窗口的完整文本内容 TERMSESSIONS | 读取每个用户的 Terminal (bash & zsh) 历史记录和会话 ~~UNIFIEDLOGS~~ | ~~从 .tracev3 文件读取 macOS unified logging 日志~~ _已移除，因为有更好的[可用选项](https://github.com/ydkhatri/UnifiedLogReader/blob/master/README.md#this-tool-is-now-archived-i-havent-had-time-to-update-this-tool-so-its-a-bit-outdated-there-isnt-incentive-to-update-this-any-more-as-python-processing-of-unifiedlogs-is-slow-and-takes-a-very-long-time-a-much-faster-rust-based-alternative-exists-please-use-that-instead-httpsgithubcommandiantmacos-unifiedlogs)_ UNIFIEDLOGEXPORT | 导出 Unifiedlogs 和相关文件以供外部处理 USERS | 本地和域用户信息 - 姓名、UID、UUID、GID、帐户创建和密码设置日期、密码提示、主目录和 Darwin 路径 UTMPX | 读取 utmpx 文件 WIFI | 获取 wifi 网络信息 WIFI_INTELLIGENCE | 从 Apple Intelligence db 获取 Wifi 连接/断开信息 XPROTECT | 读取 XProtect 诊断文件和 XProtect Behavior Service 数据库 ### 即将推出.. * 用于 BIOME 和 KnowledgeC 的插件 * 更多文档 安装说明（从代码运行）请参阅 https://github.com/ydkhatri/mac_apt/wiki/Installation-for-Python3 **请在此处阅读文档：** https://github.com/ydkhatri/mac_apt/wiki 下载 windows 二进制文件，请前往 - https://github.com/ydkhatri/mac_apt/releases ## Bugs 请随时将意见和建议发送至 yogesh@swiftforensics.com，或开启一个 [issue](https://github.com/ydkhatri/mac_apt/issues)。 [](https://twitter.com/swiftforensics)

标签：AFF4, APFS, Artifact Parsing, DAST, E01, GrayKey, HFS+, HTTP工具, iOS取证, JSONL, Linux安全, macOS取证, Python, Safari历史, Spotlight数据库, VMDK, Volociraptor, XLSX输出, 事故响应, 元数据提取, 域渗透, 库, 应急响应, 恶意软件分析, 批量测试, 数字取证, 数据提取, 无后门, 电子数据取证, 磁盘镜像解析, 网络信息收集, 网络安全, 自动化脚本, 跨平台工具, 进程保护, 隐私保护