OSXCollector 使用教程

1. 项目介绍

OSXCollector 是一个专为 macOS 设计的取证证据收集和分析工具包。它能够从潜在的受感染机器中收集信息，并以 JSON 文件的形式输出，详细描述目标机器的状态。OSXCollector 通过从 plists、SQLite 数据库和本地文件系统中收集信息，帮助分析人员回答以下问题：

• 这台机器是否被感染？
• 恶意软件是如何入侵的？
• 如何预防和检测进一步的感染？

Yelp 提供了一个自动化的输出分析工具，可以将 OSXCollector 的输出转换为易于阅读和操作的摘要，仅显示可疑内容。

2. 项目快速启动

在标准的 macOS 机器上，osxcollector.py 是一个独立的 Python 脚本，无需任何依赖即可运行。以下是快速启动的步骤：

首先，将 osxcollector.py 文件复制到目标机器上，然后以 root 权限运行：

sudo osxcollector.py

这将生成一个包含所有收集到的信息的 .tar.gz 压缩文件，文件名为 osxcollect-YYYY_MM_DD-HH_MM_SS.tar.gz。

如果您已经克隆了 GitHub 仓库，osxcollector.py 文件位于 osxcollector/ 目录下，因此需要以下方式运行：

sudo osxcollector/osxcollector.py

请注意，确保您机器上的 python 命令使用的是系统默认的 Python 解释器，而不是通过 brew 安装的 Python 版本。OSXCollector 依赖于一些 macOS 系统的本地 Python 绑定，这些绑定可能不在其他 Python 版本中可用。

您也可以在运行时显式指定 Python 版本：

sudo /usr/bin/python2.7 osxcollector/osxcollector.py

3. 应用案例和最佳实践

以下是使用 OSXCollector 的一些典型案例和最佳实践：

• 案件标识：使用 -i 或 --id 选项设置案件标识符，方便跟踪和分析。

  sudo osxcollector.py -i IncontinentSealord
  

• 指定路径：使用 -p 或 --path 选项设置文件系统根路径，适用于对磁盘镜像进行收集。

  sudo osxcollector.py -p /mnt/powned
  

• 选择收集部分：使用 -s 或 --section 选项仅运行完整收集的一部分。

  sudo osxcollector.py -s startup -s downloads
  

• 收集 Cookies 和本地存储：使用 -c 或 --collect-cookies 和 -l 或 --collect-local-storage 选项来收集敏感数据。

• 调试模式：使用 -d 或 --debug 选项启用详细输出和 Python 断点，以帮助调试。

4. 典型生态项目

OSXCollector 的生态系统中，有一些项目可以与其配合使用，以下是一些典型的项目：

• OSXCollector Output Filters：自动化分析和过滤 OSXCollector 输出的项目。
• 其他取证工具：例如 Volatility、Ghidra 等，可以与 OSXCollector 收集的数据一起使用，进行更深层次的分析。

通过以上介绍和教程，您可以开始使用 OSXCollector 进行 macOS 系统的取证证据收集和分析工作。