知識源：Unit 2: Linux/Unix Acquisition 2.1 Linux/Unix Acquistion Memory Acquisition 中的實驗demo部分 小白註意，這是網絡安全RITx: CYBER502x 部分的內容。 19年1月初，該系列課程會推出501x，這是面向入門的基礎性課程。 不要錯誤講座的直觀體驗而閱讀我的筆記。這是錯誤的學習行為，一切已原創為重點。

這裏使用Linux Unix內存轉儲工具，稱為Lime。

進入lime目錄 這麽做的目的是把捕獲的內存數據放到這個目錄中，有助於分門別類。

正是這個模塊，插入到了可疑機器的內核裏，才能夠獲取內存中所有的數據

插入內核的命令以及指定捕獲到數據映像轉儲的路徑 不要急著實驗，內存大需要的時間長

內存數據轉存好了以後，需要做一點清理已保證數據沒有被修改。因為前面我們把lime模塊插入到了內核。找到lime模塊是否還在，刪除它。剛從內存中取出來的數據，它肯定存在。這裏已經清理過了，所以得到這個消息。

找到這個內存取證數據。它是一個沒有數據結構的二進制文件。進程信息，密碼信息就是用其他工具從這裏獲取到的。

現在實驗一個非常簡單的工具感受一下 它叫string

它輸出一定長度的字符串，默認是大於4字節，因為這裏的默認密碼是比8字節要大，所以為了簡潔，這裏取巧把參數針對性的修改為8。 把這個命令與剛剛從內存中獲取到的數據交換起來。8後面跟的是交互的文件名。 結果會出來一大堆大於8的字節信息，因為是實驗感受一下密碼在哪裏，這裏取巧。密碼是法醫學的英文forensics

實驗結束。 有更多的工具能夠從二進制文件中提取有意義的數據。以後遇到再演示。

【幹貨】Linux內存數據的獲取與轉存 直搗密碼