sachista-simon/macos-incident-response-bakalarska-praca-kalinak

# macOS 事件响应收集器 一款用于在安全事件响应（Incident Response）上下文中，从 macOS 操作系统自动化收集实时取证数据的工具。 作为学士学位论文的一部分实现： **“macOS 操作系统安全事件响应自动化”** 帕沃尔·约瑟夫·沙法里克大学，科希策，2026年 作者：Simon Kalinák ## 描述 该工具能够从正在运行的 macOS 系统中自动化收集取证数据，无需安装外部依赖。它利用标准 macOS 安装中可用的工具。收集完成后，会自动为所有收集的文件生成 SHA-256 哈希值，并将输出打包成压缩的 .tar.gz 存档。 ## 要求 - macOS（已在 macOS Tahoe 26 上测试） - 以 root 权限运行（`sudo`） - 为终端应用程序授予完全磁盘访问权限： 系统设置 → 隐私与安全性 → 完全磁盘访问权限 → 终端 ## 使用 ``` # 按配置收集 sudo ./final_skript.sh -p ir_triage . # 单个工件收集 sudo ./final_skript.sh -a live_response/network.yaml /tmp # 帮助 sudo ./final_skript.sh -h ``` ## 输出 收集完成后，工具将生成以下目录结构： IR_Output_DDMMYYYY_HHMMSS/ ├── live_response/ ├── files/ ├── logs/ ├── run_log.txt # 收集过程记录 └── integrity_manifest.sha256 # 所有文件的 SHA-256 哈希值 IR_Output_DDMMYYYY_HHMMSS.tar.gz ## 收集的数据类别 | 类别 | 描述 | |-----------|-------| | live_response/ | 易失性数据 – 正在运行的进程、网络连接、系统信息 | | files/ | 持久化数据 – 持久化机制、浏览器、钥匙串、FSEvents、TCC | | logs/ | 系统日志 – 统一日志、var/log、Time Machine、Spotlight | ## 说明 - 该工具已在 **macOS Tahoe 26** 上测试。在其他版本的 macOS 上，某些数据路径可能有所不同。 - 得益于 YAML 文件的模块化架构，可以直接在相应的 `.yaml` 文件中修改路径，而无需改动脚本源代码。 ## 作者 Simon Kalinák – 学士学位论文，帕沃尔·约瑟夫·沙法里克大学 科希策 2026年

标签：Cutter, macOS取证, macOS安全, SHA-256, Shell脚本, 压缩归档, 取证数据收集, 完整性校验, 实时响应, 工具开发, 持久化检测, 数字取证, 文件系统事件, 系统日志分析, 自动化脚本, 进程分析, 透明度同意控制