OS X Auditor freies Forensic-Tool

OS X Auditor ist ein Python-basierten Forensik-Tool. Es ermöglicht die Analyse auf einem laufenden System oder einer System-Kopie ohne dabei die ursprünglichen Beweise zu ändern. Insbesondere werden vom OS X Auditor dies betrachtet:

  • Kernel-Erweiterungen
  • Systemagenten und Dämonen
  • Third-Party Agenten und Dämonen
  • alte und nicht mehr empfohlene Autostart-Objekte des Systems oder von Third-Parties
  • Benutzer Agenten
  • heruntergeladenen Dateien der Anwender
  • installierten Anwendungen

Ebenfalls extrahiert es pro Anwender:
  • Quarantäne-Dateien
  • von Safari (History, Downloads, Top-Webseiten, HTML5-Datenbanken und lokale Speicherung)
  • Firefox (Cookies, Downloads, Formular-History, Berechtigungen, Orte und Anmeldungen)
  • Chrome (History, Archive und Verlauf, Cookies, Login-Daten, Top-Webseiten, Web-Daten, HTML5-Datenbanken und die lokale Speicherung)
  • sozialen und E-Mail-Accounts der Benutzer
  • WLAN Access-Points und versucht diese Orten zu zuweisen (geolocate)

Um OS X Auditor benutzen zu können, müssen zuvor einige Abhängigkeiten aufgelöst werden. Folgendes sollte auf dem Mac installiert sein
  • Phyton
  • biplist
  • osxauditor

Sollte Python nicht installiert sein, kannst es hier heruntergeladen werden (Python-Download) und die aktuelle Version als DMG-Paket herunterladen. Die Installation selbst erfolgt wie bei jeden anderen DMG-Paket.
So jetzt wird „biplist“ in Python integriert. Die aktuelle Version kann von dieser Seite bezogen werden (biplist - Download). Die Integration erfolgt wie folgt: Das OSX-Auditor-File bspw. im Download-Ordner entpacken und im Anschluss den Befehl sudo easy_install aufrufen.