从RAM转储中获取python脚本

时间:2018-02-03 07:09:45

标签: python linux python-3.x security computer-forensics

如果在Linux中执行python脚本,它将进入RAM并将从那里执行。一旦执行并完成任务。

是否会立即从RAM中移除python脚本代码,或者它是否会保留,直到计算机需要RAM空间用于任何其他任务?

如果有人运行恶意python脚本并假设任何其他任务不需要RAM空间,那么使用RAM转储我想获取该python脚本。

它是研究工作的一部分,我只想回答上面提到的问题。

1 个答案:

答案 0 :(得分:0)

我不知道我是否正确,但RAM内存包含可执行映像的数据,其中包括操作码和其他可用作图像部分数据的数据。脚本不可自行执行。它需要一些解释器来执行。(例如cmd.exe用于.bat脚本,php.exe用于php,perl.exe用于perl脚本)。这些应用程序(a)生成脚本的编译指令然后执行它或( b)生成操作码然后运行它。

但是,您的问题与恶意脚本有关。您可以使用监控应用程序来检测运行的解释器。当任何脚本想要执行时,这种类型的应用程序也会通知您。