Extrair dados para análise adicional

Se você não encontrou nada suspeito no sistema, mas deseja investigar mais a fundo quando estiver sem acesso ao sistema, é possível coletar dados forenses interessantes para analisá-los posteriormente usando o AutoMacTC.

Observação importante:

  • Esse programa pode extrair algumas informações privadas (como o histórico do navegador), portanto, tenha isso em mente ao usá-lo.

  • Este programa não é atualizado desde 2021, sendo compatível apenas até o macOS 11.

Como iniciar o AutoMacTC

Primeiro, você precisa baixar o AutoMacTC do repositório do Github e extraí-lo.

Em seguida, é necessário iniciar um terminal, no menu > Other > Terminal. Para executar o programa, você precisa saber o caminho do código AutoMacTC extraído e executar sudo python <PATH>/automactc-master/automactc.py -m all.

A execução desse comando com o argumento -m all extrairá todos os dados disponíveis. Também é possível extrair dados mais específicos passando o nome de um módulo específico. Aqui está a lista de módulos da documentação do AutoMacTC :

  • pslist: lista de processos atuais no momento da execução do AutoMacTC

  • lsof: identificadores de arquivos atuais abertos no momento da execução do AutoMacTC

  • netstat: conexões de rede atuais no momento da execução do AutoMacTC

  • asl: arquivos de registro do sistema Apple (.asl) analisados

  • autoruns: análise de vários locais de persistência e listas

  • bash: análise de arquivos bash/.*_history para todos os usuários

  • chrome: análise do histórico de visitas e do histórico de downloads do Chrome

  • coreanalytics: análise de evidências de execução de programas produzidas pelo diagnóstico da Apple

  • dirlist: lista de arquivos e diretórios no disco

  • firefox : análise do histórico de visitas e de downloads do Firefox

  • installhistory: análise do histórico de instalação do programa

  • mru : análise de arquivos plist SFL e MRU

  • quarantines : análise do banco de dados QuarantineEventsV2

  • quicklook : análise do banco de dados Quicklooks

  • safari : análise do histórico de visitas e de downloads do Safari

  • spotlight : análise das principais pesquisas do usuário no Spotlight

  • ssh: análise dos arquivos known_hosts e authorized_keys de cada usuário

  • syslog: análise de arquivos system.log

  • systeminfo : identificação básica do sistema, como endereço IP atual, número de série, nome do host

  • users : listagem de usuários presentes e excluídos no sistema

  • utmpx: listagem de sessões de usuário em terminais

Dados extraídos

Todos os dados extraídos são salvos em um arquivo chamado automactc-output,<computername>,<ipaddress>,<date>.tar.gz. Ele contém arquivos csv com resultados de todos os módulos executados.

Last updated