Извлечь скрипт Python из дампа ОЗУ

Если сценарий python выполняется в Linux, он поступает в оперативную память и будет выполняться оттуда. После того, как он выполнил и завершил свою задачу.

Будет ли код сценария python немедленно удален из ОЗУ или он останется в памяти до тех пор, пока компьютеру не понадобится это пространство ОЗУ для какой-либо другой задачи?

Если кто-то запускает вредоносный скрипт python и полагает, что место в ОЗУ не требуется для какой-либо другой задачи, то, используя дамп ОЗУ, я хочу получить этот скрипт на python.

Это часть исследовательской работы, я хочу только ответить на вопрос, упомянутый выше.


python-3.x python linux security computer-forensics
person Taimour    schedule 03.02.2018    source источник
comment
stackoverflow.com/a/31015993/8150371   -  person Stack    schedule 03.02.2018
comment
Этот вопрос касается скрипта Python, который не остановился и все еще работает в памяти. У меня другой вопрос.   -  person Taimour    schedule 03.02.2018
comment
Вы ищете исходный код скрипта Python, который все еще работает в RAM @Taimour?   -  person John Moutafis    schedule 05.02.2018
comment
Операционная система освобождает и очищает память. Если вы все еще можете получить доступ к этой памяти для восстановления чего-нибудь, это будет огромная дыра в безопасности. Это не относится к Python. Во время работы вы можете восстановить байт-код для выполняемого кода, и вы можете изменить его на разумное факсимиле исходного исходного кода, но после выхода программы память исчезает, стирается и может не подлежат восстановлению. Дальнейшие вопросы о безопасности освобожденной памяти процесса Linux следует направлять в Information Security SE.   -  person Martijn Pieters    schedule 05.02.2018
comment
@JohnMoutafis Нет, я ищу скрипт Python, который не запущен. На самом деле я ничего не искал в ОЗУ, потому что для меня поиск в ОЗУ в моем случае не имеет смысла. Рецензент сказал мне сделать это, поэтому я разместил этот вопрос здесь, прежде чем делать это.   -  person Taimour    schedule 06.02.2018
comment
Я закрыл этот пост как дубликат, когда я прокомментировал, больше никаких ответов публиковать нельзя.   -  person Martijn Pieters    schedule 12.02.2018
comment
@MartijnPieters хорошо   -  person Taimour    schedule 12.02.2018

Ответы (1)


arrow_upward
0
arrow_downward

Я не знаю, прав ли я или нет, но память RAM содержит данные исполняемого изображения, которые включают коды операций и другие данные, доступные как данные раздела изображения. Сценарий не запускается самостоятельно. Для его выполнения требуется некоторый интерпретатор (например, cmd.exe для сценария .bat, php.exe для php, perl.exe для сценария perl). Это приложение (а) либо генерирует скомпилированную инструкцию сценария, а затем выполняет ее, либо ( б) сгенерируйте коды операций, а затем запустите его.

Однако ваша проблема связана с вредоносным скриптом. Вы можете использовать приложение для мониторинга, чтобы определить, какой интерпретатор запускается. Этот тип приложений также уведомляет вас, когда какой-либо скрипт хочет быть выполнен.

person Junaid Jamil    schedule 05.02.2018