关于Aftermath
Aftermath是一款针对macOS的事件响应框架,该工具基于Swift语言开发,是一款完全免费且开源的网络安全事件响应框架。
在Aftermath的帮助下,广大研究人员可以轻松收集并分析受感染主机的数据。除此之外,在理想情况下,我们还可以从MDM部署Aftermath,或者直接从受感染设备上通过命令行运行。
运行机制
Aftermath首先会运行一系列数据收集模块,然后支持将数据收集结果通过-o或--output存储到指定的文件中。默认配置下,该工具会将数据收集结果存储到/tmp目录中。
数据收集完成之后,我们可以从终端用户的磁盘中拿到最终的zip压缩文件,然后使用--analyze参数来选择归档文件并进行读取和分析,分析后的结果也将存储到/tmp目录中。接下来,研究人员可以解压并读取分析结果目录,然后查看本收集的数据库解析视图,其中将包含文件的创建时间、上次访问时间和上次修改日期的文件时间线、文件元数据、数据库更改和浏览器信息时间线,并跟踪潜在感染媒介。
工具下载&代码构建
首先,我们需要使用下列命令将该项目源码克隆至本地:
git clone https://github.com/jamf/aftermath.git
接下来,切换到项目目录中,使用Xcode构建项目代码:
cd <path_to_aftermath_directory> xcodebuild
构建完成后,进入到项目的Release目录中:
cd build/Release
使用下列命令运行Aftermath:
sudo ./aftermath
工具使用
Aftermath的正常运行需要使用root权限执行,并提供全盘访问权限(FDA),我们可以在运行该工具之前,通过终端应用程序提供FDA权限。
Aftermath的默认使用方式如下:
sudo ./aftermath
也可以指定专门的参数选项:
sudo ./aftermath [option1] [option2]
工具使用样例
sudo ./aftermath -o /Users/user/Desktop --deep
sudo ./aftermath --analyze <path_to_collection_zip>
发布版本使用
本项目的【Releases页面】下可以直接获取到Aftermath.pkg文件,该文件是一个已签名的安装文件,它会将Aftermath安装到/usr/local/bin/目录下,运行方式如下:
sudo aftermath [option1] [option2]
工具帮助菜单
--analyze -> 分析Aftermath的数据收集结果 usage: --analyze <path_to_aftermath_collection_file> --collect-dirs -> 指定转储文件元数据的路径 usage: --collect-dirs <path_to_dir> <path_to_another_dir> --deep or -d -> 对文件系统执行深度扫描(时间敏感扫描,内存消耗大) -o or --output -> 指定Aftermath存储数据收集结果的路径,默认为/tmp usage: -o Users/user/Desktop --pretty -> 终端颜色高亮显示 --cleanup -> 从默认路径删除Aftermatch目录 ("/tmp", "/var/folders/zz/)
许可证协议
本项目的开发与发布遵循MIT开源许可证协议。
项目地址
Aftermath:【GitHub传送门】
参考资料