UAC

文件 • 主要功能 • 支援的作業系統 • 使用UAC • 貢獻 • 支援 • 許可證

UAC 是用於事件回應的即時回應收集腳本，它利用本機二進位檔案和工具來自動收集 AIX、ESXi、FreeBSD、Linux、macOS、NetBSD、NetScaler、OpenBSD 和 Solaris 系統工件。它的創建是為了促進和加速資料收集，並在事件回應過程中減少對遠端支援的依賴。

UAC 即時讀取 YAML 文件，並根據其內容收集相關工件。這使得 UAC 非常可自訂和可擴展。

專案文件頁：https://tclahr.github.io/uac-docs

• 無需依賴即可隨處運作（無需安裝）。
• 可自訂和可擴展的集合和工件。
• 在工件收集期間尊重波動順序。
• 收集有關目前正在運行的進程（包括磁碟上沒有二進位檔案的進程）的資訊。
• 哈希運行進程和可執行檔。
• 提取檔案和目錄狀態以建立正文檔案。
• 收集系統和使用者特定的資料、設定檔和日誌。
• 使用不同的方法和工具從 Linux 系統取得揮發性記憶體。

UAC 可以在任何類 Unix 系統上運行，無論處理器架構如何。所有 UAC 都需要 shell :)

請注意，UAC 甚至可以在網路附加儲存 (NAS) 設備、OpenWrt 等網路設備和 IoT 設備等系統上運作。

目標系統上不需要安裝UAC。只需從發布頁面下載最新版本，解壓縮並啟動即可。就這麼簡單！

全磁碟存取權限是 macOS Mojave (10.14) 中引入的隱私功能，可防止某些應用程式存取重要數據，例如郵件、訊息和 Safari 檔案。因此，強烈建議您在從終端運行 UAC 之前手動授予終端應用程式權限，或在透過 ssh 執行 UAC 之前為遠端使用者授予權限。

要執行集合，您必須至少提供一個設定檔和/或一個工件列表，並指定目標目錄。任何附加參數都是可選的。

範例：

根據 ir_triage 設定檔收集所有工件，並將輸出檔案儲存到 /tmp。

./uac -p ir_triage /tmp

收集位於 artifacts/live_response 目錄中的所有工件，並將輸出檔案儲存到 /tmp。

./uac -a ./artifacts/live_response/ * /tmp

收集基於 ir_triage 設定檔的所有工件以及位於 /my_custom_artifacts 目錄中的所有工件，並將輸出檔案儲存到 /mnt/sda1。

./uac -p ir_triage -a /my_custom_artifacts/ * /mnt/sda1

根據完整設定檔收集記憶體轉儲和所有工件。

./uac -a ./artifacts/memory_dump/avml.yaml -p full /tmp

根據 ir_triage 設定檔收集所有工件，不包括 bodyfile/bodyfile.yaml 工件。

./uac -p ir_triage -a ! artifacts/bodyfile/bodyfile.yaml /tmp

貢獻使開源社群成為學習、啟發和創造的絕佳場所。我們非常感謝您所做的任何貢獻。

你創造過任何文物嗎？請與我們分享！

您可以貢獻新的工件、設定檔、錯誤修復，甚至提出新功能。在向專案提交 Pull 請求之前，請閱讀我們的貢獻指南。

有關使用 UAC 的一般協助，請參閱專案文件頁面。如需其他協助，您可以使用以下管道之一提出問題：

• Discord（與社群和 UAC 團隊進行即時討論）
• GitHub（錯誤回報和貢獻）
• Twitter（快速獲取新聞）

UAC計畫使用Apache License Version 2.0軟體許可證。