Как в опертаивной памяти найти запущенную программу?

Предположим у нас есть пароль от sudo, который мы забыли. Хеш этого пароля записан в файле /etc/shadow, который можно открыть только при наличии root прав. Когда мы вводим в терминал sudo su - у нас запускается процесс sudo su и очевидно, что он к этому файлу доступ имеет. Процесс само собой, читает из файла необходимый хеш и сранвивает его с хешем того, что мы введем в ответ команде sudo su. Возможно ли в оперативной памяти найти память этого процесса sudo su , чтобы прочесть оттуда контекст, стек и кучу и отыскать хеш из /etc/shadow?

Если я что-то неврено понимаю в процессе работы ос и эвм, пожалуйста сообщите, я постарюсь разобраться и исправить вопрос!