江湖秘笈：掌握Volafox 不愁沒有工具對蘋果系統的攻擊進行信息取證與反追蹤啦

關注藍字 看點網路安全

GIF

Hello，親愛的看官們，大家晚上好。又到了每周中間時間了，每當一周的這天時，人心多少都會開始浮動起來。

特別是很多年輕人都期盼這周五趕快過去，這樣周末時就可以開開心心的玩耍了。

要知道，在這炎熱的天氣當中，有一些地方非常適合人放鬆和緩解心情。距離最近的，當屬是家中開著空調，四仰八叉的躺在床上很舒服。

遠一點的，北京郊區有山有水的地方，既可以爬山出一身汗讓自己的身體得到鍛煉同時加速新陳代謝，還能夠藉助河邊的涼爽舒適一下。

最後就是海邊啦，雖然並未到達最適合海邊的時刻，可是這種天氣下海邊絕對是遊玩的最佳去處。

看官們此時千萬不要問2 cats大俠我為何不提出遊泳池哦，那麼多人扎堆在一個小小的池子當中，難免給人一種煮餃子的趕腳，所以堅決不要跟我說什麼組團去游泳池，我是旱鴨紙……

好啦，開過一個小小的玩笑，現在來聊一聊今天的技術內容。

專門攻破蘋果內存鏡像的取證工具

在今天的內容中，2 cats大俠要為看官們分享一款有關蘋果品牌設備的內存專用工具，名字叫做volafox。

Volafox介紹

Volafox是一款使用Python語言編寫，並內置overlay data數據，可直接分析蘋果10.6-10.11版本各種內存鏡像文件的分析取證類工具。

Volafox怎麼玩

Volafox共有28個子命令，可被應對各種功能需要，如獲取掛載文件系統、任務列表、系統調用表、EFI系統表、主機名、網路Socket列表、進程列表等。同時該工具提供幾種子命令，用於檢查內存中是否存在惡意程序。

1

命令：volafox

2

主要參數：

-o CMD： 列印CMD（下面）的內核信息

-p PID：List open files for PID（where CMD is 「lsof」）

-v： 列印所有的文件，包括支持的類型（如「lsof命令」）

命令格式：-x PID/KID/TASKID : Dump process/task/kernel extension address space for PID/KID/Task ID (where CMD is "ps"/"kextstat"/"tasks")

3

COMMANDS system profiler：內核版本、CPU和內存規範，Boot/Sleep/Wakeup time

mount : 安裝存取數據

kextstat : kext（內核擴展）上市

ps : 上市過程

tasks： 任務列表（匹配進程列表）

systab : 系統調用表（鉤檢測）

mtt : Mach trap table (（掛鉤檢測）)

netstat : 網路套接字列表（哈希表）

lsof : 打開的文件列表的過程（研究，osxmem@gmail.com）

pestate : 顯示啟動信息（實驗）

efiinfo : EFI系統表，EFI運行時服務（實驗）

keychaindump : 場主密鑰解密鑰匙扣（候選人的獅子，ML）

好啦，講述了如此眾多命令之後，又展示了相關工具的命令格式，那麼具體操作體驗還請看官們自行嘗試吧。2 cats大俠我還要處理其他工作，先寫到這裡了哦。

2cats 寄語

老規矩不變，

如果有任何問題依舊可以發給e品小頑童。

小頑童的郵箱是：

xiaowantong@epinjianghu.com。

也可以在微信公眾號的下方留言，我們會及時整理反饋的。

期待各位的來信交流！

另外，大家可以掃描下面的二維碼，加我2cats的個人微信哈！

e品江湖

不失初心 不忘初衷

長按掃碼 加關注！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！