在前面的文章中,我们讲到过通过“不落地”的形式来实现免杀。即我们直接在内存中运行程序。本文为大家介绍一款工具,从内存中获取敏感信息如账号或密码等。
关于
Dismember是一款针对Linux内存安全的测试与扫描工具,该工具本质上是一个基于命令行的工具,专为Linux操作系统而设计,可以帮助广大研究人员扫描Linux系统上的所有进程,并尝试从中搜索常见的敏感信息或自定义的正则表达式匹配项。
安装
直接访问该项目的【Releases页面】下载最新版本的Dismember即可。
wget https://github.com/liamg/dismember/releases/download/v0.0.1/dismember-linux-amd64
# 添加权限
chmod +x dismember-linux-amd64
# 帮助
./dismember-linux-amd64 -h
命令说明
| 命令 | 说明 |
|---|---|
| files | 显示进程可访问的文件列表 |
| find | 搜索一个给定进程名称的PID |
| info | 显示目标进程的相关信息 |
| kernel | 显示关于内核的信息 |
| kill | 使用SIGKILL终止一个或多个进程的执行 |
| list | 枚举目标系统中所有的进程 |
| resume | 使用SIGCONT恢复挂起的进程 |
| suspend | 使用SIGSTOP挂起一个进程 |
| tree | 显示一个进程和所有子进程的进程树 |
示例
显示进程树
./dismember-linux-amd64 tree
显示所有进程
./dismember-linux-amd64 list
通过PID搜索目标进程中的信息
如,我们要搜索在浏览器中存在的密码等信息。首先利用上面命令或top查找浏览器的进程id。
然后,查找有关 password等相关信息。
./dismember-linux-amd64 grep -p 64132 'password .*'
通过服务查找
如,我们要查找通过ssh服务建立起的隧道连接中的账号和密码等信息。
./dismember-linux-amd64 grep -n ssh 'password.*'
搜索所有进程中的内存敏感信息
./dismember-linux-amd64 scan
总结
利用Dismember我们可以快速地从内存中获取一些敏感的信息。但是目前此工具仅在Linux系统中才能运行。暂不支持Windows平台。希望在后续的版本中能解决。
更多精彩文章 欢迎关注我们