내 질문:RAM의 내용을 파일 시스템에 복사할 수 있습니까? (윈도우)
또한 특정 프로세스의 RAM 내용을 복사할 수 있습니까?
이유:
이는 주로 CryptoLocker(및 유사한 악성 코드)를 중심으로 이루어지며, 사용하는 개인 키에 대한 비용을 지불하지 않고도 데이터를 신속하게 복구할 수 있습니다.
CryptoLocker는 파일 시스템의 어느 곳에도 개인 키를 저장하지 않지만,메모리에 보관해야 해지속적으로 파일을 암호화합니다. 따라서 활성 CryptoLocker 프로세스를 캡처할 수 있고, 개인 키의 길이를 알고, 어떤 암호화가 사용되었는지 알 수 있다면 이론적으로 특정(작은) 파일의 암호 해독을 시도하는 각 비트를 반복할 수 있습니다.
답변1
소프트웨어가 공개 키 암호화의 적절한 사용에 대해 막연하게 똑똑하더라도 메모리 내용을 덤프하는 것은 여기서 도움이 되지 않습니다. 하지만 메모리를 강제로 덤프해야 하는 경우 다음 질문에 대한 편리한 답변이 있습니다.컴퓨터 정지 또는 충돌에 대한 메모리 덤프를 어떻게 생성합니까?
공개 키 암호화는 다음을 사용합니다.비대칭 암호화, 여기서 키의 절반은 메시지를 암호화하는 데 사용되며~ 해야 하다키의 나머지 절반을 사용하여 암호를 해독합니다. 키의 절반을 사용하여 암호화된 메시지(또는 파일)를 해독하는 데 동일한 키의 절반을 사용할 수 없습니다.
공개 키를 사용하여 개인 키를 사용하여 생성된 메시지를 해독할 수 있거나, 개인 키를 사용하여 공개 키를 사용하여 생성된 메시지를 해독할 수 있지만 개인-개인 또는 공개-공개는 불가능합니다.
로부터암호화폐 위키피디아페이지:
처음 실행하면 페이로드가 사용자 프로필 폴더에 자체적으로 설치되고 시작 시 실행되도록 하는 키를 레지스트리에 추가합니다. 그런 다음 지정된 여러 명령 및 제어 서버 중 하나에 연결을 시도합니다. 일단 연결되면,서버는 2048비트 RSA 키 쌍을 생성하고 공개 키를 감염된 컴퓨터로 다시 보냅니다....
그런 다음 페이로드는 로컬 하드 드라이브와 매핑된 네트워크 드라이브에서 파일을 암호화합니다.공개 키로.
키의 절반만 가지고 있기 때문에 할 수 있는 일은 메시지(파일)를 암호화하는 것뿐입니다. 필요한 작업을 수행하고 파일을 복구하려면 키의 다른 부분이 필요합니다.
이 경우 메모리 내용을 덤프하는 것은 사용자에게 유용하지 않습니다. 왜냐하면 메모리에 포함된 모든 것은 상황을 계속 악화시키는 방법이기 때문입니다.
너의 컴퓨터절대보유둘 다단, 귀하가 열쇠를 받은 이후에는 제외됩니다.
더 자세히 설명하자면...
공개 키 암호화의 한 가지 문제점은 이를 사용하는 키 크기가 더 크기 때문에 대칭 키(가역) 암호화에 비해 계산 비용이 많이 든다는 것입니다. 이러한 이유로 많은 시스템에서는 공개 키 암호화를 사용하여 대칭 키를 안전하게 교환한 다음 더 낮은 오버헤드로 추가 통신에 사용합니다.
이 경우 더 간단한 대칭 키를 사용하는 것은 불필요하며 맬웨어 작성자에게 불리하게 작용합니다. 대칭 키를 사용했다면 추측한 대로 모든 메모리를 디스크에 강제로 저장하고 암호화된 파일이 열릴 때까지 메모리 블록을 암호화하기 시작할 수 있습니다. 하지만 이 작업은 여전히 오랜 시간이 걸릴 것이며 키를 확인하는 데 필요한 메모리 양을 고려하면 실행 불가능할 것으로 생각됩니다. 대칭형 키 단계를 피함으로써 더 높은 계산 요구 사항을 희생하여 영향력을 높입니다.
맬웨어가 시작되면 이미 일부 파일은 손실된 것이며, 대상으로 삼는 파일 형식과 파일 크기를 선택함으로써 사용 가능한 리소스로 최대한의 피해를 입힐 수 있습니다. 더 낮은 전력의 최신 CPU라도 더 비싼 비대칭 암호화를 사용하더라도 알아차리기 전에 상당한 양의 암호화를 얻을 수 있습니다.
공개 키 암호화를 사용하여 다음을 보장합니다.필요잠금해제 키를 달라고 하더군요. 그들이 당신에게 그것을 주지 않으면 당신은 아무것도 할 수 없습니다.