Как смотреть какие изменения происходят в RAM сервера при взломе сайта, расположенного на этом сервере......?
Изменения происходят на hdd сервера: заливаются бинарники, шелы, изменяются файлы index страниц, возможно удаляются определенные файлы сайта, еще может делатся дефейс главной страницы, а с оперативной памятью в это время, как правило, ничего не происходит
Точнее там происходит очень много всего, но полезного в данной ситуации при анализе мало. В ситуации когда доступ к RAM имеет злоумышленник все сильно меняется, через дампы и анализ можно получать пароли от служб/демонов/сервисов итд. Вот к ознакомлению https://dotlayer.com/how-to-dump-cleartext-usernames-and-passwords-from-memory-using-mimipenguin/
