macOS Triage工具 用于在macOS上收集工件的DFIR工具 抽象的 macOS Triage Tool ( MTT )是DFIR工具,用于收集macOS上的工件。 该工具的目的是收集重要文件及其目录结构以供调查。 MTT不仅提供CLI版本,而且提供GUI版本,以帮助不具备macOS取证知识的人。 您可以轻松地开始收集工件,以在目标计算机上运行单个二进制文件或单个App。 特征 提供GUI和CLI 您可以在您的用例中使用它。 例如,从远程进行操作时,请使用CLI工具。 保持目录结构 MTT使用目录结构来收集文件,因此也可以通过其他工具来解析文件。 保留扩展属性 MTT可以将证据保存到磁盘映像,因此您不必担心输出设备的文件系统不保留扩展属性。 四个预设 您可以根据情况选择要收集的工件。 AllList :收集定义此工具的所有工件。 Malware :收集工件以响应恶意