LETHAL-FORENSICS/macos-collector

GitHub: LETHAL-FORENSICS/macos-collector

面向 DFIR 场景的 macOS 取证工件自动化收集脚本，整合多种专业工具以简化事件响应流程。

Stars: 30 | Forks: 3

# macos-collector macos-collector - 自动化收集 macOS 取证工件以用于 DFIR macos-collector.sh 是一个 Shell 脚本，主要利用 Jamf Threat Labs 的 [Aftermath](https://github.com/jamf/aftermath)，用于从受损的 macOS 端点收集 macOS 取证工件。 ## 下载请从 [Releases](https://github.com/LETHAL-FORENSICS/macos-collector/releases/latest) 部分下载 **macos-collector** 的最新版本。 ## 用法 ``` sudo bash macos-collector.sh [OPTION] ``` 示例 1 - 使用 Aftermath 从受损的 macOS 端点收集取证工件 ``` sudo bash macos-collector.sh --collect ``` 示例 2 - 分析之前收集的 Aftermath 归档文件 ``` sudo bash macos-collector.sh --analyze ``` 示例 3 - 从受损的 macOS 端点收集 FSEvents 数据 ``` sudo bash macos-collector.sh --fsevents ``` 示例 4 - 收集所有支持的 macOS 取证工件 ``` sudo bash macos-collector.sh --triage ```
![Help-Message](https://github.com/user-attachments/assets/83e6d18e-55e8-4d4a-a924-58ef630feafd) **图 1：** 帮助信息 ![Aftermath-Collection](https://github.com/user-attachments/assets/27d73f2d-c139-446d-b1b6-20f0d4a52fb8) **图 2：** Aftermath 收集（深度扫描） ![Aftermath-Analysis](https://github.com/user-attachments/assets/cfa5c6d1-c188-4648-ac7f-111ade15c943) **图 3：** 分析 Aftermath 归档 → 切换到干净的 macOS 端点 ![BTM](https://github.com/user-attachments/assets/8b4d7bbd-8b02-4d45-a52f-fcccd9ae1b0b) **图 4：** 收集 BTM 转储文件（后台任务管理） ![DS_Store](https://github.com/user-attachments/assets/0af153b0-df11-4ec4-a6de-3fd6fec8cb41) **图 5：** 收集 DS_Store 文件 ![FSEvents](https://github.com/user-attachments/assets/c3d9a361-8d85-47d4-9da9-08671e038f67) **图 6：** 收集 FSEvents 数据 ![KnockKnock](https://github.com/user-attachments/assets/69a15eca-54c2-46ad-933b-f95f167c42ed) **图 7：** 使用 KnockKnock 进行实时系统扫描（持久化） ![UnifiedLogs](https://github.com/user-attachments/assets/f80a175c-ee1b-4b95-95d3-c3005a009510) **图 8：** 收集 Apple 统一日志 (AUL) ![Sysdiagnose](https://github.com/user-attachments/assets/25e3b02a-a6ed-480f-a10f-1db5eb37376f) **图 9：** 收集 Sysdiagnose 日志 ![Spotlight](https://github.com/user-attachments/assets/17dddf9f-819d-4c6b-a7ea-417ec469d0b8) **图 10：** Spotlight 数据库文件收集（含实时搜索） ![System-Info](https://github.com/user-attachments/assets/b98703af-06f2-48e2-b1d9-ab816e1353bd) **图 11：** 系统信息收集 ![Recent-Items](https://github.com/user-attachments/assets/81d8f279-68e0-4af5-ae18-4c06dddec8e7) **图 12：** 最近项目收集 ![TrueTree](https://github.com/user-attachments/assets/78137d73-362f-4cbf-81c7-b66ea3b31549) **图 13：** TrueTree 快照收集 ## 依赖项 Aftermath v2.3.0 (2025-09-24) MD5: A0668EB91650513F40CE8753A277E0E0 SHA1: 782077A3FE5351C72157142C437EA5D20BEF00E9 SHA256: A58489ACC3E3BB7D5BC70B66DFF5897CBF93BFE38E66C119C4FF1013559D912A https://github.com/jamf/aftermath KnockKnock v4.0.3 (2025-12-18) MD5: 91582848022442C8A6D71ED28A10A11B SHA1: FDAEB856E44563E7C543F775A238D590A3A4B2EC SHA256: A7836AF427187D02511170606232E4509C3A41351F5BBC3BAFAFE2F0227CC2DE https://objective-see.com/products/knockknock.html TrueTree v0.8 (2024-08-23) MD5: 7D4ACAA589846B9D31FBC911D1E4898F SHA1: BF701DABCFBD816425FB827B75B011773D9283AD SHA256: C6CE708937EFAC833DA6A0B6F4FC1A91EB38F8D456317BCF68B27CF57CB581C6 https://github.com/themittenmac/TrueTree ## 许可证本项目基于 MIT 许可证授权 - 详情请参阅 [LICENSE](LICENSE) 文件。 ## 链接 [Aftermath by Jamf Threat Labs](https://github.com/jamf/aftermath) [Aftermath - SOAR Playbooks](https://github.com/jamf/jamfprotect/tree/main/soar_playbooks/aftermath_collection) [TrueTree by Jaron Bradley](https://github.com/themittenmac/TrueTree) [The Mitten Mac - Incident Response and Threat Hunting Knowledge for macOs](https://themittenmac.com/) [What Happened?: Swiftly Investigating macOS Security Incidents with Aftermath | JNUC 2023](https://www.youtube.com/watch?v=lvfQMnkOZDM) [KnockKnock - Persistence Enumerator by Objective-See](https://objective-see.org/products/knockknock.html)

标签：Aftermath, Cutter, DAST, FSEvents, HTTP工具, Jamf, macOS安全, Shell脚本, 取证, 安全事故调查, 库, 应急响应, 恶意软件分析, 数字取证, 痕迹提取, 端点安全, 系统分析, 网络分析, 网络安全, 自动化取证, 自动化脚本, 补丁管理, 隐私保护