Чтобы расширить адресное пространство, эффективно используемое процессом, и увеличить объем динамической оперативной памяти, современные операционные системы используют метод, известный как свопинг.
В системах Linux это обычно проявляется в виде раздела жесткого диска, предназначенного для этой задачи, но области подкачки могут храниться и в файлах.
В области подкачки можно найти множество интересных артефактов, таких как пароли локальных учетных записей в открытом виде, логины/пароли для входа в Интернет, адреса электронной почты, SSID и ключи сетей Wi-Fi, учетные данные Samba и многое другое.
Чтобы извлечь эту информацию из свопа linux, вы можете использовать swap_digger, bash-скрипт, разработанный Эмериком Наси, который применяет несколько техник для разбора полезной информации из разделов/дампов свопа.
Зависимости
Для установки и использования скрипта требуется наличие следующих пакетов
- git - Для скачивания скрипта
- python3 - Для использования функционала подбора паролей
Параметры swap_digger
- -p, --passwd Поиск системных паролей
- -g, --guessing Попытка угадать потенциальные пароли на основе наблюдений и статистики.
- -a, --app-data Выполнить расширенные тесты на целевом файле подкачки для получения других интересных данных
(веб-пароли, электронная почта, учетные данные wifi, наиболее посещаемые URL, хэши и т.д.) - -v, --verbose Подробный режим.
- -l, --log Запись всех результатов в файл журнала (защищенный внутри созданного рабочего каталога).
-c, --clean Автоматическое удаление сгенерированного рабочего каталога в конце сценария (также будет удален файл журнала). - -r PATH, --root-path PATH Расположение корня целевой файловой системы (значение по умолчанию - /).
- Измените это значение для криминалистического анализа, если целью является смонтированная файловая система. Эта опция должна использоваться вместе с опцией -s для указания пути к устройству подкачки.
- -s PATH, --swap-path PATH Расположение устройства подкачки или дампа подкачки для анализа. Используйте эту опцию для криминалистического/удаленного анализа дампа подкачки или смонтированного внешнего раздела подкачки.
Эту опцию следует использовать с опцией -r, если существует хотя бы /<root-path>/etc/shadow. - -S, --swap-search Поиск всех доступных устройств и файлов подкачки.
- -h, --help Отображение справки.
Использование swap_digger
Используйте следующие команды для загрузки и запуска скрипта на вашей машине:
1 2 3 4 | git clone https://github.com/sevagas/swap_digger.git cd swap_digger chmod +x swap_digger.sh sudo ./swap_digger.sh -vp |
На смонтированном жестком диске
Чтобы использовать swap_digger на смонтированном жестком диске, сделайте следующее:
Сначала загрузите скрипт с помощью следующих команд:
1 2 3 | git clone https://github.com/sevagas/swap_digger.git cd swap_digger chmod +x swap_digger.sh |
Затем найдите целевой файл/раздел подкачки с помощью:
1 | sudo ./swap_digger.sh -S |
Наконец, проанализируйте SWAP файл, выполнив:
1 | sudo ./swap_digger.sh -vp -r path/to/mounted/target/root/fs -s path/to/target/swap/device |