关于PICT 

PICT是一款功能强大的信息收集和事件响应工具，该工具可以帮助广大研究人员在受感染的终端节点中收集各种信息，以辅助进行网络安全事件应急响应。这些数据可能不够完整，但确实能够捕捉到很多有价值的取证信息。如果你想要获取完整的取证数据，你可以尝试获取完整的内存转储数据，并导出整个驱动器的镜像。

 工具运行机制 

该工具由多个Python脚本组成，能够以两种形式收集数据。第一种为摘要文件的形式，包含Shell命令输出以及从数据库提取数据等。比如说，浏览器模块能够输出一个browser_extensions.txt文件，其中将包含Safari、Chrome和Firefox安装的所有浏览器插件摘要信息。

第二种则是从文件系统收集的完整文件，这些文件将存储在集合文件夹中的一个子文件夹中。

 工具下载 

由于该工具基于Python开发，因此我们首先需要在本地设备上安装并配置好Python环境。接下来，使用下列命令将该项目源码克隆至本地：

git clone https://github.com/thomasareed/pict.git

 工具语句 

工具脚本的运行非常简单，脚本只接收一个必要参数，通过一个JSON格式的配置脚本传递即可：

./pict.py -c /path/to/config.json

这个配置脚本将描述工具如何收集信息以及需要收集何种信息，脚本内容大致如下：

{
"collection_dest" : "~/Desktop/",
"all_users" : true,
"collectors" : {
"browser" : "BrowserExtCollector",
"persist" : "PersistenceCollector",
"suspicious" : "SuspiciousBehaviorCollector",
"browserhist" : "BrowserHistoryCollector",
"bash_config" : "BashConfigCollector",
"bash_hist" : "BashHistoryCollector",
"processes" : "ProcessCollector",
"network_config" : "NetworkConfigCollector",
"profiles" : "ProfileCollector",
"certs" : "TrustedCertCollector"
},
"settings" : {
"keepL*SData" : true,
"zipIt" : true
},
"moduleSettings" : {
"browser" : {
"collectArtifacts" : true
}
},
"unused" : {
"installs" : "InstallationCollector"
}
}

 模块自定义开发 

模块必须由一个包含Collector类（在collectors/collector.py中定义）的子类的文件组成，且必须存放在collectors文件夹中。新的Collector模块可以直接通过拷贝collectors/template.py文件来生成，并根据需要进行自定义开发。

def __init__(self, collectionPath, allUsers)

我们可以根据需要来从重写这个方法，且必须在自定义代码执行之前调用Collector.init()方法，即初始化工具的配置属性。

def printStartInfo(self)

这是一个非常简单的方法，但模块开始执行收集任务的时候会调用这个方法，它会尝试将各种数据和当前场景信息输出到STDOUT，以便广大研究人员了解当前的任务进展情况。

def applySettings(self, settingsDict)

该模块可以应用任何自定义配置，每一个模块都会有一个自定义的设置，其中的settingsDict必须传递给父类，以便Collection类能够获取到模块的设置信息。

def collect(self)

这个方法是模块的核心，每当收集任务开始执行时都会调用这个方法，它能够将收集到的信息写入到文件中，并完成数据收集任务。

 项目地址 

PICT：https://github.com/thomasareed/pict

参考资料：

https://github.com/munki/munki/blob/master/code/client/munkilib/FoundationPlist.py