ph0llux/emd

# emd eBPF 内存转储器能够使用 eBPF filter 转储 Linux 机器上的物理内存。 **即使在内核处于 lock down 模式（完整性）或系统上 /proc/kcore 不可用的情况下，这依然有效**。 你需要 root 权限才能使用此工具。 ## 前置条件 1. stable rust toolchains：`rustup toolchain install stable` 2. nightly rust toolchains：`rustup toolchain install nightly --component rust-src` 3. bpf-linker：`cargo install bpf-linker` ## 构建 ``` cargo build --release ``` ## 通过 cargo 安装 ``` cargo install emdumper ``` ## 用法 ``` sudo ./emd -o output-file.bin ``` 要显示所有选项，你可以使用 ``` ./emd -h ```

标签：0day挖掘, Docker镜像, Red Team, Rootkit, Ruby on Rails, Rust, SecList, Zeek, 内存取证, 内存转储, 内建安全, 内核安全, 内核编程, 协议分析, 可视化界面, 安全渗透, 库, 应急响应, 数据窃取, 权限提升, 流量嗅探, 物理内存, 系统底层, 网络流量审计, 通知系统, 通知系统