在先前的文章中,我们介绍了通过“不落地”运行程序,直接在内存中执行,以实现免杀的方法。本文将向大家介绍一款名为Dismember的工具,专注于Linux内存安全测试与扫描。该工具基于命令行,设计用于Linux操作系统,能够帮助研究人员扫描Linux系统上的所有进程,并尝试从中搜索常见的敏感信息,如账号或密码等,或者使用自定义的正则表达式匹配项。
安装
安装Dismember非常简单,只需访问项目的Releases页面并下载最新版本的Dismember:
wget https://github.com/liamg/dismember/releases/download/v0.0.1/dismember-linux-amd64 # 添加权限 chmod +x dismember-linux-amd64 # 查看帮助 ./dismember-linux-amd64 -h
运行示例
Dismember提供了多个命令,用于检查、分析和获取系统信息。以下是一些示例:
- 显示进程树:
./dismember-linux-amd64 tree
- 显示所有进程:
./dismember-linux-amd64 list
- 通过PID搜索目标进程中的信息:
# 先查找浏览器的PID,然后搜索相关信息 ./dismember-linux-amd64 find -p ‘browser’ ./dismember-linux-amd64 grep -p <browser_PID> ‘password .*’
- 通过服务查找信息:
# 查找通过ssh服务建立起的隧道连接中的账号和密码等信息 ./dismember-linux-amd64 grep -n ssh ‘password.*’
- 搜索所有进程中的内存敏感信息:
./dismember-linux-amd64 scan
总结
Dismember是一款强大的工具,能够快速从Linux系统内存中获取敏感信息。然而,请注意目前该工具仅支持Linux系统,不支持Windows平台。期望在未来的版本中能够解决这一限制。使用Dismember可以提高对系统安全的审查,确保敏感信息得到有效保护。
暂无评论内容