问题：近期玩某个 debian 系统的 DIY ，发现系统启用页面是用 ngnix 加载的 www 目录，而 www 目录被系统进程守护变更任何文件即刻恢复原始备份；沿线索找到一份加密的备份文件 www.zip ，于是用 auditctl 设置对 www.zip 文件的读写监控，发现只有 nginx 程序对应有读取操作，未发现 unzip/7z 等读取行为但 www 目录已被解压覆盖

说明：用明文攻击可以解密，只是出于好奇和好玩想不用爆破方式尝试逆向一下原密码

是不是需要 gdb 调试 nginx 主程序？但考虑主页面基于 nginx ，一旦附加调试系统就会卡死

总之目标是找出 zip 文件密码，不知道下一步还能朝哪个方向或者有什么小妙招可以继续分析？ 没有玩的思路啦~~