VolaFox – Mac OS X内存分析工具包

VolaFox是一个基于Python的Mac OS X内存分析工具包。

要求：

内核符号列表
覆盖数据（包括从Snow Leopard到El Capitan的回购）
记忆图像
原始内存映像（Firewire，VMware内存映像）
使用Google开发的rekal导出原始内存映像
命令：rekal aff4export -D。[AFF4 IMAGE] =>输出文件名：物理内存
使用flatten.py（32位，64位）展平Mac内存读取器格式=> MMR现在不支持OS X Mountain Lion。
用法：

python vol.py -i IMAGE [-o COMMAND [-vp PID] [ -  x PID] [ -  x KEXT_ID] [ -  x TASKID]
[-x SYMFILENAME]]

选项：
-o ：CMD：打印CMD的内核信息（如下）
-p ：ID：列出PID的打开文件（其中CMD为“lsof”和dumpfile）
-v ：打印所有文件，包括不支持的类型（CMD为“lsof”）
-x ：PID / KID / TASKID / SYMBOLNAME /虚拟地址：
   PID / KID /任务ID的转储过程/任务/内核扩展地址空间
   （其中CMD是“ps”/“kextstat”/“tasks”/“machdump”/“dumpsym”/“dumpfile”）
命令：

system_profiler：内核版本，CPU和内存规格，启动/睡眠/唤醒时间
mount：已挂载的文件系统
kextstat：KEXT（内核扩展）列表
kextscan：扫描KEXT（内核扩展）（仅限64位操作系统）
ps：流程列表
machdump：转储机器人二进制和重新定位分析
systab：Syscall表（挂钩检测）
                  =>电话号码427被错误地挂钩。
mtt：马赫陷阱表（挂钩检测）
netstat：网络套接字列表（哈希表）
lsof：按流程打开文件列表（research，osxmem @ gmail.com）
dumpfile：转储内存上的文件（必需-p和-x选项）
pestate：显示启动信息
efiinfo：EFI系统表，EFI运行时服务
keychaindump：用于解密密钥链的转储主密钥候选者（Lion~El Capitan）
dmesg：启动时调试消息
uname：打印unix名称的缩写（uname）
hostname：打印主机名
trustedbsd：显示TrustedBSD MAC框架
bash_history：在bash过程中显示历史记录
sysctl：显示sysctl命令的结果
dumpsym：将KASLR考虑的转储内核符号地址转储到文件（对于RCE）
kdebug_hook：检查恶意代码检测的KDebug功能代码
kauth_hook：检查KAUTH是否存在防病毒隐藏检测错误代码
bsm_hook：检查OpenBSM上的auto_commit函数
fbt_syscall：检查由DTrace FBT Provider挂钩的系统调用表

下载链接：https://github.com/n0fate/volafox/releases