a1l4m/Mac-Triage
GitHub: a1l4m/Mac-Triage
一款专为 macOS 数字取证设计的高效采集脚本,能够完整保留文件系统结构并输出结构化证据包。
Stars: 41 | Forks: 5
# Mac Triage Tool 🖥️
## 🔍 概述
**Mac Triage Tool** 是一款专为**数字取证和安全调查**设计的取证收集脚本。
受 KAPE 工作方式的启发,它能高效提取关键的 macOS 系统工件,同时**保留原始文件系统结构**,使取证分析和解析变得无缝。
该工具收集 **FSEvents、Spotlight、统一日志、用户 artifacts、系统日志等**,确保为取证调查人员和安全专业人士提供全面的数据采集。
## 功能
✔️ **取证数据采集** – 提取关键 macOS 工件,包括:
- **FSEvents、统一日志、Spotlight、KnowledgeC 和 .DS_Store**
- **用户 artifacts**(.bash_history、.zsh_history、SSH 密钥、文档、桌面)
- **系统日志和偏好设置**
- **库 artifacts**(Application Support、LaunchDaemons、Preferences)
✔️ **保留 macOS 文件结构** – 在收集关键工件的同时保留 macOS 文件系统结构。📂
✔️ **完整文件系统清单** – 生成所有系统文件的综合清单。
✔️ **高效且模块化设计** – 可轻松定制以支持新的取证目标
✔️ **自动压缩与清理** – 将收集的工件打包为 `.zip` 文件。数据收集后自动清理临时文件 🧹
✔️ **兼容大多数 macOS 版本** – 设计为在不同 macOS 版本上可靠运行,尽管工件位置可能有所不同。
## 安装与使用
克隆仓库并运行脚本:
```
git clone https://github.com/a1l4m/Mac-Triage.git
cd Mac-Triage
chmod +x Mac-Triage.sh
sudo bash Mac-Triage.sh
```
🔹 **需要 root 权限** 才能进行完整的取证收集。
🔹 脚本将收集系统工件,将其存储在结构化目录中,并压缩为 `.zip` 归档文件。
## 📂 输出结构
执行后,输出结构大致如下:
```
📁 [Hostname_YMD_HMS].zip/
│── 📁 [Hostname-Triage]/
│ │── 📁 Private/
│ │ ├── 📁 etc/
│ │ ├── 📁 var/
│ │ │ ├── 📁 db/
│ │ │ ├── 📁 log/
│ │ │ ├── 📁 root/
│ │ │ ├── 📁 tmp/
│ │── 📁 Users/
│ │ ├── 📁 User1/
│ │ │ ├── 📄 .bash_history
│ │ │ ├── 📄 .zsh_history
│ │ │ ├── 📁 .ssh
│ │ │ ├── 📄 .sh_history
│ │ │ ├── 📄 .DS_Store
│ │ │ ├── 📁 .zsh_sessions/
│ │ │ ├── 📁 .bash_sessions/
│ │ │ ├── 📁 Documents/
│ │ │ ├── 📁 Desktop/
│ │ │ ├── 📁 Library/
│ │ ├── 📁 User2/
│ │── 📁 UnifiedLogs/
│ │── 📁 Spotlight/
│ │── 📁 FSEvents/
│ │── 📁 Library/
│ │ ├── 📁 Application Support/
│ │ ├── 📁 LaunchDaemons/
│ │ ├── 📁 Logs/
│ │ ├── 📁 Preferences/
│ │── 📁 System/
│ │ ├── 📁 Library/
│ │ ├────── 📄 CoreServices/SystemVersion.plist
│ ├── 📄 Full_File_Listing.txt
│ ├── 📄 [Hostname_YMD_HMS]_Processing_Details.txt
│ ├── 📄 [Hostname_YMD_HMS]_File_Hashes.txt
```
## 日志
所有操作和错误均记录在:
```
Processing_Details.txt
```
## 作者
- **[Khaled Allam](https://linkedin/in/a1l4m)** - aka a1l4m
- 🌐 [站点](https://a1l4m.github.io)
- 📧 [邮箱](mailto:khal3d.a1lam@gmail.com)
- **[Ahmed Mahmoud](https://www.linkedin.com/in/m4shl3)** - aka M4shl3
- 🔗 [博客](https://hackmd.io/@M4shl3)
- 📧 [邮箱](ahmedelsalkh627@gmail.com)
## 免责声明
由于我们不喜欢重复造轮子,代码和结构的某些部分借鉴了 **Brimor Labs** 开源项目 **Live Response Collection**。我们希望为其对取证社区的贡献表示感谢。
## 许可证
本项目开源,采用 GPL 许可证。
标签:bash_history, Cutter, .DS_Store, FSEvents, KnowledgeC, Spotlight, SSH密钥, Unified Logs, zsh_history, 取证收集, 安全调查, 应用安全, 数字取证, 数据获取, 文件收集, 文件系统结构, 模块化设计, 法医分析, 清理临时文件, 用户数据, 磁盘取证, 系统日志, 自动化修复, 自动化压缩, 自动化脚本, 跨版本兼容, 逆向工具