Мой вопрос:Можно ли скопировать содержимое оперативной памяти в файловую систему? (Windows)
Кроме того, возможно ли скопировать содержимое оперативной памяти для определенного процесса?
Причина:
В основном это касается CryptoLocker (а также аналогичного вредоносного ПО) и возможности быстрого восстановления данных без необходимости платить за используемый им закрытый ключ.
Хотя CryptoLocker не хранит закрытый ключ нигде в файловой системе,его нужно сохранить в памятидля непрерывного шифрования файлов. Поэтому, учитывая, что вы можете захватить активный процесс CryptoLocker, знаете длину закрытого ключа и знаете, какое шифрование использовалось, вы теоретически можете перебрать каждый бит, пытаясь расшифровать определенный (небольшой) файл.
решение1
Дамп содержимого памяти вам здесь не поможет, если программное обеспечение хотя бы немного подкованно в правильном использовании криптографии с открытым ключом. Если же вам нужно принудительно сбросить память, то на этот вопрос есть удобный ответ:Как создать дамп памяти при зависании или сбое компьютера?
Криптография с открытым ключом используетасимметричное шифрование, где одна половина ключа используется для шифрования сообщения, и выдолжениспользовать другую половину ключа для его расшифровки. Вы не можете использовать ту же половину ключа для расшифровки сообщения (или файла), которое было зашифровано с помощью этой половины ключа.
Вы можете использовать открытый ключ для расшифровки сообщения, созданного с помощью закрытого ключа, или использовать закрытый ключ для расшифровки сообщения, созданного с помощью открытого ключа, но не закрытого-закрытого или открытого-открытого.
ИзКриптолокер Википедиястраница:
При первом запуске полезная нагрузка устанавливается в папку профиля пользователя и добавляет ключ в реестр, который заставляет ее запускаться при запуске. Затем она пытается связаться с одним из нескольких назначенных серверов управления и контроля; после подключениясервер генерирует пару ключей RSA длиной 2048 бит и отправляет открытый ключ обратно на зараженный компьютер...
Затем полезная нагрузка шифрует файлы на локальных жестких дисках и подключенных сетевых дисках.с открытым ключом.
Поскольку у вас есть только половина ключа, все, что вы можете сделать, это зашифровать сообщения (файлы). Вам нужна другая часть ключа, чтобы сделать необходимое и восстановить ваши файлы.
В этом случае сброс содержимого памяти не принесет вам никакой пользы, поскольку все, что там содержится, — это способ продолжить усугублять ситуацию.
Твой компьютерникогдадержитобачасти ключа, за исключением случаев, когда вам его передали.
Для более подробной информации...
Одна из проблем криптографии с открытым ключом заключается в том, что из-за больших размеров ключей ее использование является вычислительно затратным по сравнению с симметричным (обратимым) шифрованием. По этой причине многие системы используют криптографию с открытым ключом для безопасного обмена симметричным ключом, который затем используется для дальнейшей коммуникации с меньшими накладными расходами.
В этом случае использование более простого симметричного ключа не нужно и будет работать против автора вредоносного ПО. Если бы они использовали симметричный ключ, то вы могли бы, как вы предполагаете, просто принудительно перенести всю память на диск и начать тереть блоки памяти в ваших зашифрованных файлах, пока они не откроются. Это все равно займет много времени, и я подозреваю, что это будет невыполнимо, учитывая объем памяти для проверки ключей. Избегая этапа симметричного ключа, они увеличивают свое воздействие за счет более высоких вычислительных требований.
Как только вредоносное ПО запустилось, вы уже потеряли по крайней мере некоторые файлы, и, будучи избирательным в отношении типов и размеров файлов, на которые оно нацелено, оно может нанести максимальный ущерб с имеющимися ресурсами. Даже маломощные современные процессоры, вероятно, могли бы зашифровать хороший объем данных, прежде чем вы это заметите, даже с более дорогим асимметричным шифрованием.
Используя криптографию с открытым ключом, они гарантируют, что вынуждатьсячтобы они дали вам ключ разблокировки. Без того, чтобы они дали его вам, вы ничего не сможете сделать.