OS X Auditor ist ein Python-basierten Forensik-Tool. Es ermöglicht die Analyse auf einem laufenden System oder einer System-Kopie ohne dabei die ursprünglichen Beweise zu ändern. Insbesondere werden vom OS X Auditor dies betrachtet:

• Kernel-Erweiterungen
• Systemagenten und Dämonen
• Third-Party Agenten und Dämonen
• alte und nicht mehr empfohlene Autostart-Objekte des Systems oder von Third-Parties
• Benutzer Agenten
• heruntergeladenen Dateien der Anwender
• installierten Anwendungen

Ebenfalls extrahiert es pro Anwender:

• Quarantäne-Dateien
• von Safari (History, Downloads, Top-Webseiten, HTML5-Datenbanken und lokale Speicherung)
• Firefox (Cookies, Downloads, Formular-History, Berechtigungen, Orte und Anmeldungen)
• Chrome (History, Archive und Verlauf, Cookies, Login-Daten, Top-Webseiten, Web-Daten, HTML5-Datenbanken und die lokale Speicherung)
• sozialen und E-Mail-Accounts der Benutzer
• WLAN Access-Points und versucht diese Orten zu zuweisen (geolocate)

Um OS X Auditor benutzen zu können, müssen zuvor einige Abhängigkeiten aufgelöst werden. Folgendes sollte auf dem Mac installiert sein

• Phyton
• biplist
• osxauditor

Sollte Python nicht installiert sein, kannst es hier heruntergeladen werden (Python-Download) und die aktuelle Version als DMG-Paket herunterladen. Die Installation selbst erfolgt wie bei jeden anderen DMG-Paket.
So jetzt wird „biplist“ in Python integriert. Die aktuelle Version kann von dieser Seite bezogen werden (biplist - Download). Die Integration erfolgt wie folgt: Das OSX-Auditor-File bspw. im Download-Ordner entpacken und im Anschluss den Befehl sudo easy_install aufrufen.