Swift-Attack 项目使用教程

1. 项目的目录结构及介绍

Swift-Attack 项目旨在帮助蓝队构建针对 macOS 系统常见后渗透方法的检测。项目包含了使用命令行历史和 API 调用的后渗透示例。以下是项目的目录结构及文件介绍：

Swift-Attack/
├── GKBypass1.dmg
├── GKBypass2.dmg
├── LICENSE
├── README.md
├── TestInstaller.pkg
├── calc.c
├── macro.txt
├── swift-attack.swift
└── swiftattack.png

• GKBypass1.dmg 和 GKBypass2.dmg：用于测试 CVE-2021-30657 实现的 bypass payloads。
• LICENSE：项目使用的 BSD-3-Clause 许可证文件。
• README.md：项目说明文件，包含项目描述、使用方法和示例。
• TestInstaller.pkg：用于测试安装包检测的示例安装器。
• calc.c：用于 dylib 注入测试的 C 文件。
• macro.txt：用于测试 Office 宏执行检测的简单宏文件。
• swift-attack.swift：项目的主要 Swift 脚本文件。
• swiftattack.png：项目相关的图像文件。

2. 项目的启动文件介绍

项目的启动文件是 swift-attack.swift。该文件包含了主要的逻辑和执行选项。使用以下命令编译和运行该文件：

swiftc -o Swift-Attack swift-attack.swift
./Swift-Attack -h

运行 -h 选项将显示帮助信息，列出所有可用的选项。

3. 项目的配置文件介绍

本项目主要使用 macro.txt 作为配置文件，该文件包含用于测试父-子关系检测的宏代码。将 macro.txt 中的内容复制到 Office 文档中，并保存为宏启用的文档，执行宏时将会触发检测。

此外，TestInstaller.pkg 包含了预安装和后安装脚本，这些脚本用于测试安装包的检测，它们将配置文件和脚本作为安装过程的一部分。

在开始使用之前，请确保已经安装了 Swift 编译器和开发者工具。对于特定的测试案例，可能还需要安装 Go 语言和 Firefox 浏览器。

以上就是 Swift-Attack 项目的目录结构、启动文件和配置文件的介绍。按照以上步骤操作，您可以开始构建和测试 macOS 的后渗透检测。