Aftermath:一款针对macOS的免费开源事件响应框架
2023-1-2 17:5:36 Author: www.freebuf.com(查看原文) 阅读量:3 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

关于Aftermath

Aftermath是一款针对macOS的事件响应框架,该工具基于Swift语言开发,是一款完全免费且开源的网络安全事件响应框架。

在Aftermath的帮助下,广大研究人员可以轻松收集并分析受感染主机的数据。除此之外,在理想情况下,我们还可以从MDM部署Aftermath,或者直接从受感染设备上通过命令行运行。

运行机制

Aftermath首先会运行一系列数据收集模块,然后支持将数据收集结果通过-o或--output存储到指定的文件中。默认配置下,该工具会将数据收集结果存储到/tmp目录中。

数据收集完成之后,我们可以从终端用户的磁盘中拿到最终的zip压缩文件,然后使用--analyze参数来选择归档文件并进行读取和分析,分析后的结果也将存储到/tmp目录中。接下来,研究人员可以解压并读取分析结果目录,然后查看本收集的数据库解析视图,其中将包含文件的创建时间、上次访问时间和上次修改日期的文件时间线、文件元数据、数据库更改和浏览器信息时间线,并跟踪潜在感染媒介。

工具下载&代码构建

首先,我们需要使用下列命令将该项目源码克隆至本地:

git clone https://github.com/jamf/aftermath.git

接下来,切换到项目目录中,使用Xcode构建项目代码:

cd <path_to_aftermath_directory>

xcodebuild

构建完成后,进入到项目的Release目录中:

cd build/Release

使用下列命令运行Aftermath:

sudo ./aftermath

工具使用

Aftermath的正常运行需要使用root权限执行,并提供全盘访问权限(FDA),我们可以在运行该工具之前,通过终端应用程序提供FDA权限。

Aftermath的默认使用方式如下:

sudo ./aftermath

也可以指定专门的参数选项:

sudo ./aftermath [option1] [option2]

工具使用样例

sudo ./aftermath -o /Users/user/Desktop --deep
sudo ./aftermath --analyze <path_to_collection_zip>

发布版本使用

本项目的【Releases页面】下可以直接获取到Aftermath.pkg文件,该文件是一个已签名的安装文件,它会将Aftermath安装到/usr/local/bin/目录下,运行方式如下:

sudo aftermath [option1] [option2]

工具帮助菜单

--analyze -> 分析Aftermath的数据收集结果

     usage: --analyze <path_to_aftermath_collection_file>

--collect-dirs -> 指定转储文件元数据的路径

    usage: --collect-dirs <path_to_dir> <path_to_another_dir>

--deep or -d -> 对文件系统执行深度扫描(时间敏感扫描,内存消耗大)

-o or --output -> 指定Aftermath存储数据收集结果的路径,默认为/tmp

     usage: -o Users/user/Desktop

--pretty -> 终端颜色高亮显示

--cleanup -> 从默认路径删除Aftermatch目录 ("/tmp", "/var/folders/zz/)

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

Aftermath:【GitHub传送门

参考资料

https://github.com/themittenmac/TrueTree

https://github.com/jamf/aftermath/releases


文章来源: https://www.freebuf.com/articles/system/354086.html
如有侵权请联系:admin#unsafe.sh