Автоматический анализ Linux Swap: swap_digger

swap_digger — это bash скрипт, используемый для автоматизации анализа подкачки Linux для целей пост-эксплуатации или криминалистики. Он автоматизирует извлечение подкачки и ищет учетные данные пользователя Linux, учетные данные веб-формы, электронные письма веб-формы, http basic authentication, WiFi SSID и ключи и т. д.

Автоматический анализ Linux Swap: swap_digger

Скачиваем

Для загрузки и запуска сценария на компьютере используйте следующие команды:

git clone https://github.com/sevagas/swap_digger.git
cd swap_digger
chmod +x swap_digger.sh
sudo ./swap_digger.sh -vx

Если вам нужно только восстановить пароли пользователей Linux с открытым текстом, просто запустите:

sudo ./swap_digger.sh

Доступные функции

Все опции:

./swap_digger.sh [ OPTIONS ]
 Options :
  -x, --extended    Выполните расширенные тесты целевой подкачки для получения других интересных данных
(веб-пароли, электронные письма, WiFi creds, наиболее доступные URL-адреса и т. д)
  -g, --guessing    Попробуйте угадать потенциальные пароли на основе наблюдений и статистики
<strong>Внимание</strong>: этот параметр не является надежным, он может выдать больше паролей, а также сотни ложных срабатываний.
  -h, --help        Отобразить помощь
  -v, --verbose     Режим отладки
  -l, --log         Логировать все действия (создаётся внутри рабочего каталога)
  -c, --clean       Автоматически стирает сгенерированный рабочий каталог в конце скрипта (также удалит файл журнала)
  -r PATH, --root-path=PATH   Расположение целевого корня файловой системы (значение по умолчанию /)
Изменить это значение для криминалистического анализа, когда мишень представляет собой смонтированную файловую систему.
Этот параметр используется вместе опцией -s, чтобы указать путь к устройству подкачки.
  -s PATH, --swap-path=PATH  
Расположение swap-устройства или swap-дампа для анализа
Используйте этот параметр для судебно-медицинского/удаленного анализа дампа подкачки или смонтированного внешнего раздела подкачки.
Этот параметр следует использовать с параметром -r, где существует хотя бы /<root-path>/etc/shadow.
  -S, --swap-search   Поиск всех доступных устройств подкачки (использовать для судебной экспертизы).