OS X Auditor freies Forensic-Tool
OS X Auditor ist ein Python-basierten Forensik-Tool. Es ermöglicht die Analyse auf einem laufenden System oder einer System-Kopie ohne dabei die ursprünglichen Beweise zu ändern. Insbesondere werden vom OS X Auditor dies betrachtet:
- Kernel-Erweiterungen
- Systemagenten und Dämonen
- Third-Party Agenten und Dämonen
- alte und nicht mehr empfohlene Autostart-Objekte des Systems oder von Third-Parties
- Benutzer Agenten
- heruntergeladenen Dateien der Anwender
- installierten Anwendungen
Ebenfalls extrahiert es pro Anwender:
- Quarantäne-Dateien
- von Safari (History, Downloads, Top-Webseiten, HTML5-Datenbanken und lokale Speicherung)
- Firefox (Cookies, Downloads, Formular-History, Berechtigungen, Orte und Anmeldungen)
- Chrome (History, Archive und Verlauf, Cookies, Login-Daten, Top-Webseiten, Web-Daten, HTML5-Datenbanken und die lokale Speicherung)
- sozialen und E-Mail-Accounts der Benutzer
- WLAN Access-Points und versucht diese Orten zu zuweisen (geolocate)
Um OS X Auditor benutzen zu können, müssen zuvor einige Abhängigkeiten aufgelöst werden. Folgendes sollte auf dem Mac installiert sein
- Phyton
- biplist
- osxauditor
Sollte Python nicht installiert sein, kannst es hier heruntergeladen werden (Python-Download) und die aktuelle Version als DMG-Paket herunterladen. Die Installation selbst erfolgt wie bei jeden anderen DMG-Paket.
So jetzt wird „biplist“ in Python integriert. Die aktuelle Version kann von dieser Seite bezogen werden (biplist - Download). Die Integration erfolgt wie folgt: Das OSX-Auditor-File bspw. im Download-Ordner entpacken und im Anschluss den Befehl sudo easy_install aufrufen.