Mac Artifact Viewer: последний вход, Bluetooth, браузер: что знает ваш Mac о вас?

Mac Artifact Viewer – это удобная утилита с открытым исходным кодом, предназначенная для сбора артефактов из операционной системы macOS. Этот инструмент помогает специалистам по цифровой криминалистике анализировать системные, пользовательские и интернет-данные, а также работать с поисковой системой Spotlight-V100. Давайте разберем, какие возможности он предоставляет.

Основные возможности Mac Artifact Viewer

Mac Artifact Viewer может извлекать данные из нескольких ключевых категорий:

Системные артефакты

Эта группа включает информацию, полезную для установления характеристик системы и недавних действий пользователя:

• Подключенные Bluetooth-устройства – можно узнать, какие устройства были сопряжены с системой.
• Последний вход в систему – позволяет определить активность пользователей.
• Сетевые интерфейсы – выявляет IP-адреса и другие сетевые параметры.

Почему это важно?
Эти данные могут помочь определить, кто и когда использовал компьютер, а также какие внешние устройства подключались к системе.

Пользовательские артефакты

Здесь представлены сведения о пользовательских действиях:

• Последние запускаемые объекты – приложения и файлы, которые недавно открывались.
• История команд Bash и zsh – следы команд, выполнявшихся в терминале.
• Содержимое мусорной корзины – файлы, которые были удалены, но еще не уничтожены окончательно.

Почему это важно?
История команд в терминале может указывать на попытки скрыть следы или выполнить подозрительные команды. А файлы в корзине – это иногда ценные артефакты, которые пользователь мог удалить, но забыть очистить.

Интернет-артефакты

Сюда входят данные, связанные с активностью в браузере:

• История браузера – какие сайты посещал пользователь.
• Скаченные файлы – какие файлы были загружены из интернета.
• Закладки – сохраненные веб-страницы.
• Дата и время входа – сведения о последних входах в учетные записи.

Почему это важно?
Анализ истории браузера и загруженных файлов помогает расследовать активность пользователя, выявлять взаимодействие с вредоносными ресурсами или факты утечки данных.

Spotlight-V100

Этот инструмент позволяет исследовать базу данных Spotlight, которая индексирует файлы на диске. Он может быть полезен для:

• Быстрого поиска по файлам и метаданным.
• Анализа изменений файловой структуры.
• Восстановления удаленных записей индекса.

Почему это важно?
Spotlight сохраняет метаданные о файлах, даже если они были удалены или перемещены. Это может помочь в восстановлении удаленной информации.

Кому пригодится Mac Artifact Viewer?

Этот инструмент будет полезен:

• Экспертам по цифровой криминалистике, анализирующим артефакты macOS.
• ИТ-специалистам, занимающимся аудитом систем безопасности.
• Исследователям, которым нужно быстро собрать данные о системе.
• Журналистам и активистам, следящим за безопасностью своих устройств.

Установка и использование

Проект доступен на GitHub: GitHub-репозиторий

Установка возможна через Python:

git clone https://github.com/ericw317/MacArtifactViewer.git
cd MacArtifactViewer
pip install -r requirements.txt
python MacArtifactViewer.py
    

Программа запускается через терминал и имеет удобный интерфейс.

Mac Artifact Viewer – это легковесный, но мощный инструмент для сбора артефактов из macOS. Он не требует сложных настроек, но при этом предоставляет ценные данные для расследований. Отличный выбор для тех, кто занимается криминалистикой на Mac!