Извлечение криминалистических артефактов из Swap Linux

Чтобы расширить адресное пространство, эффективно используемое процессом, и увеличить объем динамической оперативной памяти, современные операционные системы используют метод, известный как свопинг.

В системах Linux это обычно проявляется в виде раздела жесткого диска, предназначенного для этой задачи, но области подкачки могут храниться и в файлах.

swap_digger

В области подкачки можно найти множество интересных артефактов, таких как пароли локальных учетных записей в открытом виде, логины/пароли для входа в Интернет, адреса электронной почты, SSID и ключи сетей Wi-Fi, учетные данные Samba и многое другое.

Чтобы извлечь эту информацию из свопа linux, вы можете использовать swap_digger, bash-скрипт, разработанный Эмериком Наси, который применяет несколько техник для разбора полезной информации из разделов/дампов свопа.

Зависимости

Для установки и использования скрипта требуется наличие следующих пакетов

  • git - Для скачивания скрипта
  • python3 - Для использования функционала подбора паролей

Параметры swap_digger

  • -p, --passwd Поиск системных паролей
  • -g, --guessing Попытка угадать потенциальные пароли на основе наблюдений и статистики.
  • -a, --app-data Выполнить расширенные тесты на целевом файле подкачки для получения других интересных данных
    (веб-пароли, электронная почта, учетные данные wifi, наиболее посещаемые URL, хэши и т.д.)
  • -v, --verbose Подробный режим.
  • -l, --log Запись всех результатов в файл журнала (защищенный внутри созданного рабочего каталога).
    -c, --clean Автоматическое удаление сгенерированного рабочего каталога в конце сценария (также будет удален файл журнала).
  • -r PATH, --root-path PATH Расположение корня целевой файловой системы (значение по умолчанию - /).
  • Измените это значение для криминалистического анализа, если целью является смонтированная файловая система. Эта опция должна использоваться вместе с опцией -s для указания пути к устройству подкачки.
  • -s PATH, --swap-path PATH Расположение устройства подкачки или дампа подкачки для анализа. Используйте эту опцию для криминалистического/удаленного анализа дампа подкачки или смонтированного внешнего раздела подкачки.
    Эту опцию следует использовать с опцией -r, если существует хотя бы /<root-path>/etc/shadow.
  • -S, --swap-search Поиск всех доступных устройств и файлов подкачки.
  • -h, --help Отображение справки.

Использование swap_digger

Используйте следующие команды для загрузки и запуска скрипта на вашей машине:

git clone https://github.com/sevagas/swap_digger.git
cd swap_digger
chmod +x swap_digger.sh
sudo ./swap_digger.sh -vp

На смонтированном жестком диске

Чтобы использовать swap_digger на смонтированном жестком диске, сделайте следующее:

Сначала загрузите скрипт с помощью следующих команд:

git clone https://github.com/sevagas/swap_digger.git
cd swap_digger
chmod +x swap_digger.sh

Затем найдите целевой файл/раздел подкачки с помощью:

sudo ./swap_digger.sh -S

Наконец, проанализируйте SWAP файл, выполнив:

sudo ./swap_digger.sh -vp -r path/to/mounted/target/root/fs -s path/to/target/swap/device

Добавить комментарий