干货Linux内存数据的获取与转存 直捣密码

Posted 2021-01-24 一次保护十个

知识源：Unit 2: Linux/Unix Acquisition 2.1 Linux/Unix Acquistion Memory Acquisition 中的实验demo部分  小白注意，这是网络安全RITx: CYBER502x 部分的内容。 19年1月初，该系列课程会推出501x，这是面向入门的基础性课程。 不要错误讲座的直观体验而阅读我的笔记。这是错误的学习行为，一切已原创为重点。

 

这里使用Linux Unix内存转储工具，称为Lime。

 

进入lime目录    这么做的目的是把捕获的内存数据放到这个目录中，有助于分门别类。

 

正是这个模块，插入到了可疑机器的内核里，才能够获取内存中所有的数据 

 

插入内核的命令以及指定捕获到数据映像转储的路径  不要急着实验，内存大需要的时间长

 

 

内存数据转存好了以后，需要做一点清理已保证数据没有被修改。因为前面我们把lime模块插入到了内核。找到lime模块是否还在，删除它。刚从内存中取出来的数据，它肯定存在。这里已经清理过了，所以得到这个消息。

 

 

 

找到这个内存取证数据。它是一个没有数据结构的二进制文件。进程信息，密码信息就是用其他工具从这里获取到的。

 

 

现在实验一个非常简单的工具感受一下    它叫string

它输出一定长度的字符串，默认是大于4字节，因为这里的默认密码是比8字节要大，所以为了简洁，这里取巧把参数针对性的修改为8。 把这个命令与刚刚从内存中获取到的数据交换起来。8后面跟的是交互的文件名。 结果会出来一大堆大于8的字节信息，因为是实验感受一下密码在哪里，这里取巧。密码是法医学的英文forensics

 

 

实验结束。 有更多的工具能够从二进制文件中提取有意义的数据。以后遇到再演示。