知識源：Unit 2: Linux/Unix Acquisition 2.1 Linux/Unix Acquistion Memory Acquisition 中的實驗demo部分  小白注意，這是網路安全RITx: CYBER502x 部分的內容。 19年1月初，該系列課程會推出501x，這是面向入門的基礎性課程。 不要錯誤講座的直觀體驗而閱讀我的筆記。這是錯誤的學習行為，一切已原創為重點。

這裡使用Linux Unix記憶體轉儲工具，稱為Lime。

進入lime目錄    這麼做的目的是把捕獲的記憶體資料放到這個目錄中，有助於分門別類。

正是這個模組，插入到了可疑機器的核心裡，才能夠獲取記憶體中所有的資料 

插入核心的命令以及指定捕獲到資料映像轉儲的路徑  不要急著實驗，記憶體大需要的時間長

記憶體資料轉存好了以後，需要做一點清理已保證資料沒有被修改。因為前面我們把lime模組插入到了核心。找到lime模組是否還在，刪除它。剛從記憶體中取出來的資料，它肯定存在。這裡已經清理過了，所以得到這個訊息。

找到這個記憶體取證資料。它是一個沒有資料結構的二進位制檔案。程序資訊，密碼資訊就是用其他工具從這裡獲取到的。

現在實驗一個非常簡單的工具感受一下    它叫string

它輸出一定長度的字串，預設是大於4位元組，因為這裡的預設密碼是比8位元組要大，所以為了簡潔，這裡取巧把引數針對性的修改為8。 把這個命令與剛剛從記憶體中獲取到的資料交換起來。8後面跟的是互動的檔名。 結果會出來一大堆大於8的位元組資訊，因為是實驗感受一下密碼在哪裡，這裡取巧。密碼是法醫學的英文forensics

實驗結束。 有更多的工具能夠從二進位制檔案中提取有意義的資料。以後遇到再演示。