OSXAuditor 使用教程
项目地址: https://gitcode.com/gh_mirrors/os/OSXAuditor 1. 项目介绍
OSXAuditor 是一个开源的Mac OS X计算机取证工具。它可以解析和哈希运行中的系统或你想要分析的系统的以下项目:
- 内核扩展
- 系统代理和守护进程
- 第三方的代理和守护进程
- 旧的和已经弃用的系统和第三方启动项
- 用户的代理
- 用户下载的文件
- 安装的程序
OSXAuditor 还可以提取:
- 用户的隔离文件
- 用户的Safari历史记录、下载、热门网站、LastSession、HTML5数据库和本地存储
- 用户的Firefox cookies、下载、表单历史、权限、places和signons
- 用户的Chrome历史记录和存档历史、cookies、登录数据、顶部网站、网页数据、HTML5数据库和本地存储
- 用户的社交和电子邮件账户
- 审计系统连接过的WiFi接入点(并尝试对它们进行地理定位)
此外,它还会在.plist文件中搜索可疑关键词。它可以验证每个文件在以下平台上的声誉:
- Team Cymru's MHR
- VirusTotal
- 你自己的本地数据库
最后,它可以:
- 将结果呈现为简单的txt日志文件
- 将结果呈现为HTML日志文件
- 将结果发送到Syslog服务器
注意:OSXAuditor 已经不再维护,你应该使用osxcollector(https://github.com/Yelp/osxcollector)作为替代。
2. 项目快速启动
首先,从GitHub上复制所有文件。如果你打算在Mac上运行OSXAuditor,为了获得完整的plist解析支持,你需要通过pyobjc安装OS X Foundation:
pip install pyobjc
如果你无法安装pyobjc或者打算在非Mac OS X系统上运行OSXAuditor,可能会遇到plist解析问题:
pip install biplist
pip install plist
这些依赖将在python中有一个工作的原生plist模块时被移除。
运行OSXAuditor需要Python版本2.7.2及以上(2.7.9可以工作)。它目前不支持其他版本的Python。OSXAuditor旨在在最新的OS X版本上运行,但在旧版本上也会尽力工作。
如果你想要在运行系统中使用它,你必须以root身份(或通过sudo)运行它,否则它将无法访问某些系统文件和其他用户的文件。
如果你使用环境变量中的API密钥,你需要使用sudo -E来保留用户的环境变量。
获取所有可用选项,可以使用:
osxauditor.py -h
然后使用所选选项运行它,例如:
[sudo -E] python osxauditor.py -a -m -l localhashes.db -H log.html
3. 应用案例和最佳实践
OSXAuditor 主要用于计算机取证和系统审计。以下是一些应用案例:
- 检查系统是否有恶意软件或未经授权的更改。
- 在安全事件响应中,收集系统信息以进行分析。
- 定期审计系统配置和安装的应用程序。
最佳实践:
- 在审计之前,确保你有足够的权限来访问所有必要的文件。
- 在进行分析之前,备份系统以防止数据丢失。
- 使用适当的日志记录级别来捕获必要的信息,但避免过多的冗余信息。
4. 典型生态项目
OSXAuditor 是计算机取证领域的一个工具,类似的生态项目包括:
- osxcollector(https://github.com/Yelp/osxcollector):由Yelp开发的OS X取证工具。
- Volatility(https://github.com/volatilityfoundation/volatility):一个开源的内存取证框架。
以上就是OSXAuditor的使用教程,希望能对你有所帮助。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
