私の質問:RAM の内容をファイルシステムにコピーすることは可能ですか? (Windows)
さらに、特定のプロセスの RAM の内容をコピーすることは可能ですか?
理由:
これは主に CryptoLocker (および類似のマルウェア) を中心に展開され、使用する秘密鍵の代金を支払うことなくデータを迅速に回復できるようになります。
CryptoLockerは秘密鍵をファイルシステム上のどこにも保存しませんが、それを記憶に留めておく必要があるファイルを継続的に暗号化します。したがって、アクティブな CryptoLocker プロセスをキャプチャでき、秘密鍵の長さがわかっており、使用された暗号化がわかっている場合、理論的には、各ビットをループして特定の (小さな) ファイルの暗号化を解除することができます。
答え1
ソフトウェアが公開鍵暗号の適切な使用について少しでも賢明であれば、メモリの内容をダンプしてもここでは役に立ちません。ただし、メモリを強制的にダンプする必要がある場合は、この質問に対する便利な答えがあります。コンピュータがフリーズまたはクラッシュした場合のメモリ ダンプを作成するにはどうすればよいですか?
公開鍵暗号は非対称暗号化、鍵の半分はメッセージを暗号化するために使用され、しなければならないキーのもう半分を使用して復号化します。キーの同じ半分を使用して、その半分のキーを使用して暗号化されたメッセージ (またはファイル) を復号化することはできません。
公開鍵を使用して秘密鍵で作成されたメッセージを復号化したり、秘密鍵を使用して公開鍵で作成されたメッセージを復号化したりできますが、private-private または public-public は使用できません。
からクリプトロッカー Wikipediaページ:
最初に実行されると、ペイロードはユーザープロファイルフォルダにインストールされ、起動時に実行されるようにレジストリにキーを追加します。次に、指定されたコマンドアンドコントロールサーバーの1つに接続しようとします。接続されると、サーバーは2048ビットのRSA鍵ペアを生成し、公開鍵を感染したコンピュータに送り返します。...
ペイロードはローカルハードドライブとマップされたネットワークドライブ上のファイルを暗号化します。公開鍵で。
キーの半分しか持っていないので、できることはメッセージ (ファイル) を暗号化することだけです。必要な操作を実行してファイルを復元するには、キーのもう半分が必要です。
この場合、メモリの内容をダンプしても役に立ちません。メモリに含まれる内容は、状況を悪化させ続けるだけだからです。
あなたのコンピュータ一度もない保持する両方キーを渡された後を除いて、キーの一部を他人に開示することはできません。
さらに詳しく説明すると...
公開鍵暗号化の問題の 1 つは、鍵のサイズが大きいため、対称鍵 (可逆) 暗号化に比べて計算コストが高くなることです。このため、多くのシステムでは公開鍵暗号化を使用して対称鍵を安全に交換し、その後の通信に低いオーバーヘッドで使用しています。
ただし、この場合、より単純な対称キーの使用は不要であり、マルウェア作成者にとって不利になります。対称キーが使用された場合、推測どおり、すべてのメモリをディスクに強制的に保存し、暗号化されたファイルが開くまでメモリ ブロックをこすり始めることができます。ただし、これにはまだ長い時間がかかり、キーをチェックするためのメモリの量を考えると実行不可能だと思います。対称キー ステージを回避することで、計算要件の増加を犠牲にして影響が増大します。
マルウェアが起動すると、少なくともいくつかのファイルが失われます。マルウェアは、標的とするファイルの種類とファイル サイズを厳選することで、利用可能なリソースで最大限の被害を与えることができます。消費電力の低い最新の CPU でも、高価な非対称暗号化を使用しても、気付かないうちにかなりの量のファイルが暗号化される可能性があります。
公開鍵暗号を使用することで、必要ロック解除キーを渡すようにしてください。渡されなければ何もできません。