tclahr/uac

GitHub: tclahr/uac

一款面向类 Unix 系统的轻量级应急响应取证工具，通过自动化采集系统痕迹来支持入侵调查和安全分析。

Stars: 1281 | Forks: 185

logo

类 Unix 系统痕迹收集器 (UAC)

关于 • 文档 • 主要特性 • 支持的操作系统 • 使用方法 • 贡献 • 支持 • 许可证

## 🔎 关于 UAC **UAC (Unix-like Artifacts Collector)** 是一款强大且可扩展的事件响应工具，专为数字取证调查人员、安全分析师和 IT 专业人员设计。它能自动从各种类 Unix 系统中收集痕迹，支持包括 AIX、ESXi、FreeBSD、Linux、macOS、NetBSD、NetScaler、OpenBSD 和 Solaris 在内的多种系统。无论您是在处理入侵事件、进行取证调查，还是执行合规性检查，UAC 都能简化并加速数据收集过程，同时最大限度地减少在关键事件期间对外部支持的依赖。 ### 核心亮点 - 📂 完全可通过 YAML 配置文件进行自定义，实现量身定制的数据收集。 - ⚡ 轻量级且便携，无需安装或任何依赖项。 - 🔒 遵循易失性顺序进行数据获取，确保数据的可靠性。 - 🛠 专为各种环境设计，包括 IoT 设备和 NAS 系统。 ![UAC 运行演示](https://tclahr.github.io/uac-docs/img/uac_collection.gif) ## 📘 文档完整文档可在[项目文档页面](https://tclahr.github.io/uac-docs)获取。 ## 🌟 主要特性 - 无需任何依赖即可在任何地方运行（无需安装）。 - 可自定义和扩展的收集项和痕迹。 - 在痕迹收集过程中遵循易失性顺序。 - 收集有关当前正在运行的进程的信息（包括磁盘上没有二进制文件的进程）。 - 对运行中的进程和可执行文件进行哈希处理。 - 提取文件和目录状态以创建 bodyfile。 - 收集系统和用户特定的数据、配置文件以及日志。 - 使用不同的方法和工具从 Linux 系统获取易失性内存。 - 支持将输出写入各种云平台。 ## 💾 支持的操作系统 UAC 可以在任何类 Unix 系统上运行，不受处理器架构限制。UAC 所需的仅仅是 shell :) [![AIX](https://img.shields.io/static/v1?label=&message=AIX&color=brightgreen&style=for-the-badge)](#-supported-operating-systems) [![ESXi](https://img.shields.io/static/v1?label=&message=ESXi&color=blue&style=for-the-badge)](#-supported-operating-systems) [![FreeBSD](https://img.shields.io/static/v1?label=&message=FreeBSD&color=red&style=for-the-badge)](#-supported-operating-systems) [![Linux](https://img.shields.io/static/v1?label=&message=Linux&color=lightgray&style=for-the-badge)](#-supported-operating-systems) [![macOS](https://img.shields.io/static/v1?label=&message=macOS&color=blueviolet&style=for-the-badge)](#-supported-operating-systems) [![NetBSD](https://img.shields.io/static/v1?label=&message=NetBSD&color=orange&style=for-the-badge)](#-supported-operating-systems) [![NetScaler](https://img.shields.io/static/v1?label=&message=NetScaler&color=blue&style=for-the-badge)](#-supported-operating-systems) [![OpenBSD](https://img.shields.io/static/v1?label=&message=OpenBSD&color=yellow&style=for-the-badge)](#-supported-operating-systems) [![Solaris](https://img.shields.io/static/v1?label=&message=Solaris&color=lightblue&style=for-the-badge)](#-supported-operating-systems) *注：UAC 甚至可以在网络附属存储 (NAS) 设备、诸如 OpenWrt 之类的网络设备以及 IoT 设备等系统上运行。* ## 🚀 使用方法 UAC 无需安装在目标系统上。只需从 [Releases 页面](https://github.com/tclahr/uac/releases)下载最新版本，解压并运行即可。就这么简单！ ### 🛠 快速开始 1. 从 [Releases 页面](https://github.com/tclahr/uac/releases)下载最新版本。 2. 解压归档文件。 3. 直接从终端运行该工具。 ### 示例

点击查看使用示例

**基于 ir_triage 配置文件收集所有痕迹：** ``` ./uac -p ir_triage /tmp ``` **基于 full 配置文件收集内存转储和所有痕迹：** ``` ./uac -a ./artifacts/memory_dump/avml.yaml -p full /tmp ``` **收集所有痕迹，但排除特定痕迹：** ``` ./uac -p full -a \!artifacts/bodyfile/bodyfile.yaml . ``` **基于 ir_triage 配置文件收集所有痕迹，同时收集位于 /my_custom_artifacts 目录中的所有痕迹：** ``` ./uac -p ir_triage -a /my_custom_artifacts/\* /mnt/sda1 ``` **基于自定义配置文件收集所有痕迹：** ``` ./uac -p /my_custom_uac_data/my_custom_uac_profile.yaml /tmp ```

## 💙 贡献贡献使开源社区成为一个如此令人惊叹的学习、启发和创造的地方。非常感谢您所做出的任何贡献。您创建了一些痕迹吗？请与我们分享！您可以贡献新的痕迹、配置文件、错误修复，或提出新功能。在向项目提交 Pull Request 之前，请阅读我们的[贡献指南](CONTRIBUTING.md)。 ## 👨‍💻 支持有关使用 UAC 的一般帮助，请参阅[项目文档页面](https://tclahr.github.io/uac-docs)。如需更多帮助，您可以使用以下任一渠道： - [Discord](https://discord.com/invite/digitalforensics)（用于与社区和 UAC 团队进行实时讨论） - [GitHub](https://github.com/tclahr/uac/issues)（错误报告和贡献） - [Twitter](https://twitter.com/tclahr)（快速获取最新消息） ## ⭐ 支持本项目如果您觉得 UAC 对您有帮助，请在 [GitHub](https://github.com/tclahr/uac) 上给我们点个 ⭐！这有助于其他人发现该项目，也将激励我们进一步完善它。 ## 📜 许可证 UAC 项目采用 [Apache License Version 2.0](LICENSE) 软件许可证。

标签：AIX, Cutter, DNS解析, ESXi, FreeBSD, HTTP工具, IT运维, NetBSD, NetScaler, OpenBSD, Shell脚本, Socks5代理, SOC工具, Solaris, Unix, 域渗透, 安全分析师, 安全合规, 库, 应急响应, 开源项目, 数字取证, 数字足迹, 无线安全, 日志收集, 漏洞发现, 电子数据取证, 痕迹提取, 系统取证, 网络代理, 网络安全, 自动化收集, 自动化脚本, 隐私保护