1. 为 volatility3 创建符号，vol2 将无法工作，因为内核版本为 5+
2. linux.bash对于 bash 历史记录，已打开 python3 交互式控制台
3. linux.pslist获取 python3 进程的 pid - 2055
4. linux.proc有一个转储选项，所以linux.proc --pid 2055 --dump
5. 检查堆转储，您可以从那里转储字符串，也可以在自己的机器上模拟 python3 进程来检查转储中的变量指针
6. 您应该能够注意到这些变量：c、k、type
7. xor c 和 k 得到私钥，用它解密 pcap 中的响应数据包

SEKAI{h0pe_y0u_enj0y3d_s0m3_l1nux_v0l}