安全 · 2022年7月11日 0

甲方安全应急篇——MacOS下应急取证常用命令

常见取证命令
系统信息
sw_vers
uname -a
登录用户
whoami
w
finger 
last 最近登录情况
进程信息
ps aux 显示所有进程
lsof -p <pid> 进程所有打开文件
lsof -i 所有进程网络连接
网络连接
netstat -anL 查看当前监听端口 
启动项
launchctl list | grep -v apple 不包含apple关键字的启动项
contab -l 当前用户的计划任务
atq 当前用户的at任务
kextstat | grep -v apple 不包含apple关键字的内核模块
文件操作

mdfind -name "test12"  查找名字中包含test12的
md5 test12 计算文件test12的md5值
file test12 文件test12的类型
codesign -dvv test12 查看test12的证书