Proc文件系统

对手可能会从proc文件系统或/proc中收集凭据。proc文件系统是一个伪文件系统，用作Linux系统管理虚拟内存的内核数据结构的接口。对于每个进程，/proc/<PID>/maps文件显示进程虚拟地址空间内的内存映射方式。而/proc/<PID>/mem，用于调试目的，提供对进程虚拟地址空间的访问。(引用: Picus Labs Proc cump 2022)(引用: baeldung Linux proc map 2022) 当以root权限执行时，对手可以搜索系统上所有进程的这些内存位置，以查找包含凭据模式的内容。对手可能会使用正则表达式模式，如grep -E "^[0-9a-f-]* r" /proc/"$pid"/maps | cut -d' ' -f 1，在内存结构或缓存哈希中查找固定字符串。(引用: atomic-red proc file system) 当没有特权访问时，进程仍然可以查看自己的虚拟内存位置。一些服务或程序可能会在进程内存中以明文保存凭据。(引用: MimiPenguin GitHub May 2017)(引用: Polop Linux PrivEsc Gitbook) 如果以Web浏览器的权限运行，进程可以在/maps和/mem位置搜索常见的网站凭据模式（也可以用于在同一结构中查找相邻内存），其中可能包含哈希或明文凭据。