我回来了!
2024年5月6日 · 更新
大家好,我回来了!我休息了一段时间,因为职业倦怠可不是开玩笑的——说真的……要照顾好自己!我进行了一次所谓的"职业中期退休",环游世界以弥补疫情期间错过的旅行。
我一直在进行几个项目,最近(也是本次更新的目的)更新了我最喜欢的脚本之一——Nicole Ibrahim的FSEventsParser。我已将其更新至Python 3,并适配了macOS 14的最新版本,即版本3(SLD3头)。
FSEvents是我最喜欢的取证工件之一,如果你没有解析它们,你绝对会错过出色的文件系统相关信息。文件创建!文件删除!还有更多!你可以在这里获取我的脚本版本:https://github.com/mac4n6/FSEventsParser
*注意:新格式有一个新字段;我还没有深入研究它的用途。
这个脚本的出现是因为我对我的课程进行了大规模更新。如果你从未(或很久没有)参加过SANS FOR518,现在正是好时机!有一个全新的数据集,包含最新最好的操作系统,这也意味着一个全新的工作簿,包含23个新实验!
我添加了大量新材料,并非常兴奋地在新的取证测试模块中引入了Corellium。如果你关注这个博客一段时间,你知道我大力支持测试所有内容!
感谢Kat Hedley,我们还有一个新的CTF风格挑战,我一直在演示Apple Vision Pro的实时取证!
Lee和我有即将开始的课程!
- 圣地亚哥(面对面和在线 - 本周四5月9日开始!)
- 八月美国DFIR峰会(仅在线)
- 九月亚太DFIR峰会"在"东京,带日语翻译(仅在线)
- 十月欧洲DFIR峰会在捷克布拉格(面对面和在线)
- 十一月DFIRCon(仅在线)
- 十二月在线"在"东京,带日语翻译(仅在线)
课程的按需版本也刚刚发布!随时学习!
别忘了这门课现在有GIAC认证,即GIAC iOS和macOS审查员(GIME)。我希望这是我发布的新一代博客中的第一篇。我有一些好主意想要研究和撰写,但我会相对轻松地处理,以免再次倦怠。
标签:FSEvents, for518
评论(6)
最新优先
Grace
一年前 · 待审核 · 0赞
"Sarah你好 - 我最近在巴尔的摩参加了你的FOR518课程。关于如何直接挂载AFF4镜像或将其转换为DMG,你有什么建议吗?谢谢!"
Sarah Edwards
一年前 · 待审核 · 0赞
"我不知道,我能告诉你的最好方法就是转换为可挂载格式。"
CarlosH
一年前 · 待审核 · 0赞
"你今年在美国有即将举行的FOR518面对面培训课程吗?"
Sarah Edwards
一年前 · 待审核 · 0赞
"截至今天,没有 - 但这肯定会改变!请持续查看https://www.sans.org/cyber-security-courses/mac-and-ios-forensic-analysis-and-incident-response/获取更新。"
Ryan
一年前 · 待审核 · 0赞
"这个能在iOS上工作吗?"
Sarah Edwards
一年前 · 待审核 · 0赞
"应该可以!"
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
)
