Автоматический анализ Linux Swap: swap_digger

swap_digger – это bash скрипт, используемый для автоматизации анализа подкачки Linux для целей пост-эксплуатации или криминалистики. Он автоматизирует извлечение подкачки и ищет учетные данные пользователя Linux, учетные данные веб-формы, электронные письма веб-формы, http basic authentication, WiFi SSID и ключи и т. д.

Автоматический анализ Linux Swap: swap_digger

Скачиваем

Для загрузки и запуска сценария на компьютере используйте следующие команды:

[cc lang=”bash”]git clone https://github.com/sevagas/swap_digger.git
cd swap_digger
chmod +x swap_digger.sh
sudo ./swap_digger.sh -vx[/cc]

Если вам нужно только восстановить пароли пользователей Linux с открытым текстом, просто запустите:

[cc lang=”bash”]sudo ./swap_digger.sh[/cc]

Доступные функции

Все опции:

[cc lang=”bash”]./swap_digger.sh [ OPTIONS ]
Options :
-x, –extended Выполните расширенные тесты целевой подкачки для получения других интересных данных
(веб-пароли, электронные письма, WiFi creds, наиболее доступные URL-адреса и т. д)
-g, –guessing Попробуйте угадать потенциальные пароли на основе наблюдений и статистики
Внимание: этот параметр не является надежным, он может выдать больше паролей, а также сотни ложных срабатываний.
-h, –help Отобразить помощь
-v, –verbose Режим отладки
-l, –log Логировать все действия (создаётся внутри рабочего каталога)
-c, –clean Автоматически стирает сгенерированный рабочий каталог в конце скрипта (также удалит файл журнала)
-r PATH, –root-path=PATH Расположение целевого корня файловой системы (значение по умолчанию /)
Изменить это значение для криминалистического анализа, когда мишень представляет собой смонтированную файловую систему.
Этот параметр используется вместе опцией -s, чтобы указать путь к устройству подкачки.
-s PATH, –swap-path=PATH
Расположение swap-устройства или swap-дампа для анализа
Используйте этот параметр для судебно-медицинского/удаленного анализа дампа подкачки или смонтированного внешнего раздела подкачки.
Этот параметр следует использовать с параметром -r, где существует хотя бы //etc/shadow.
-S, –swap-search Поиск всех доступных устройств подкачки (использовать для судебной экспертизы).[/cc]