Meine Frage:Ist es möglich, den Inhalt des RAM in das Dateisystem zu kopieren? (Windows)
Ist es außerdem möglich, den RAM-Inhalt für einen bestimmten Prozess zu kopieren?
Grund:
Dabei geht es im Wesentlichen um CryptoLocker (und ähnliche Schadsoftware) und darum, eine schnelle Datenwiederherstellung zu ermöglichen, ohne für den dafür verwendeten privaten Schlüssel bezahlen zu müssen.
Während CryptoLocker den privaten Schlüssel nirgends im Dateisystem speichert,es muss im Gedächtnis behalten werdenum Dateien kontinuierlich zu verschlüsseln. Wenn Sie also einen aktiven CryptoLocker-Prozess erfassen können, die Länge des privaten Schlüssels kennen und wissen, welche Verschlüsselung verwendet wurde, könnten Sie theoretisch jedes Bit durchlaufen und versuchen, eine bestimmte (kleine) Datei zu entschlüsseln.
Antwort1
Das Auslesen des Speicherinhalts hilft Ihnen hier nicht weiter, wenn die Software auch nur annähernd mit der richtigen Verwendung von Public-Key-Kryptographie vertraut ist. Wenn Sie Ihren Speicher jedoch zwangsweise auslesen müssen, gibt es eine praktische Antwort auf diese Frage:Wie erstelle ich einen Speicherauszug, wenn mein Computer einfriert oder abstürzt?
Die Public-Key-Kryptologie verwendetasymmetrische Verschlüsselung, wobei die eine Hälfte des Schlüssels zum Verschlüsseln einer Nachricht verwendet wird und SiemussVerwenden Sie die andere Hälfte des Schlüssels zum Entschlüsseln. Sie können nicht dieselbe Hälfte des Schlüssels zum Entschlüsseln einer Nachricht (oder Datei) verwenden, die mit dieser Hälfte des Schlüssels verschlüsselt wurde.
Sie können einen öffentlichen Schlüssel verwenden, um eine mit dem privaten Schlüssel erstellte Nachricht zu entschlüsseln, oder Sie können den privaten Schlüssel verwenden, um eine mit dem öffentlichen Schlüssel erstellte Nachricht zu entschlüsseln, jedoch nicht privat-privat oder öffentlich-öffentlich.
Von demCryptolocker WikipediaSeite:
Beim ersten Ausführen installiert sich die Payload im Benutzerprofilordner und fügt der Registrierung einen Schlüssel hinzu, der dafür sorgt, dass sie beim Start ausgeführt wird. Anschließend versucht sie, einen von mehreren festgelegten Befehls- und Kontrollservern zu kontaktieren. Sobald die Verbindung hergestellt ist,Der Server generiert ein 2048-Bit-RSA-Schlüsselpaar und sendet den öffentlichen Schlüssel an den infizierten Computer zurück...
Die Nutzlast verschlüsselt dann Dateien auf lokalen Festplatten und zugeordneten Netzwerklaufwerkenmit dem öffentlichen Schlüssel.
Da Sie nur die Hälfte des Schlüssels haben, können Sie damit nur Nachrichten (Dateien) verschlüsseln. Den anderen Teil des Schlüssels benötigen Sie, um das Nötige zu tun und Ihre Dateien wiederherzustellen.
In diesem Fall ist das Sichern des Speicherinhalts für Sie nicht sinnvoll, da dadurch nur die Situation noch schlimmer wird.
Dein ComputerniemalshältbeideTeile des Schlüssels, außer nachdem Sie ihn erhalten haben.
Um das genauer auszuführen...
Ein Problem bei der Public-Key-Kryptographie besteht darin, dass sie aufgrund der größeren Schlüssellängen im Vergleich zur symmetrischen (reversiblen) Verschlüsselung rechenintensiv ist. Aus diesem Grund verwenden viele Systeme die Public-Key-Kryptographie, um einen symmetrischen Schlüssel sicher auszutauschen, der dann mit geringerem Aufwand für die weitere Kommunikation verwendet wird.
In diesem Fall ist die Verwendung des einfacheren symmetrischen Schlüssels jedoch unnötig und würde sich gegen den Malware-Autor auswirken. Wenn er einen symmetrischen Schlüssel verwendet, können Sie, wie Sie vermuten, einfach den gesamten Speicher auf die Festplatte zwingen und beginnen, Speicherblöcke auf Ihre verschlüsselten Dateien zu reiben, bis sie sich öffnen. Dies wird jedoch immer noch lange dauern und ich vermute, dass es angesichts der Speichermenge, die zum Überprüfen der Schlüssel benötigt wird, nicht machbar wäre. Indem sie auf eine symmetrische Schlüsselphase verzichten, erhöhen sie ihre Wirkung auf Kosten höherer Rechenleistungsanforderungen.
Sobald die Malware gestartet ist, haben Sie bereits mindestens einige Dateien verloren. Wenn sie die Dateitypen und -größen, auf die sie abzielt, selektiv auswählt, kann sie mit den verfügbaren Ressourcen maximalen Schaden anrichten. Selbst moderne CPUs mit geringerer Leistung könnten wahrscheinlich eine beträchtliche Menge verschlüsseln, bevor Sie es bemerken, selbst mit der teureren asymmetrischen Verschlüsselung.
Durch die Verwendung von Public-Key-Kryptographie stellen Sie sicher, dass SiebrauchenBitten Sie sie, Ihnen den Entsperrschlüssel zu geben. Ohne ihn können Sie nichts tun.