我的問題:是否可以將 RAM 的內容複製到檔案系統? (視窗)
另外,是否可以複製特定進程的 RAM 內容?
原因:
這主要圍繞著 CryptoLocker(以及類似的惡意軟體),並且可以快速恢復數據,而無需為其使用的私鑰付費。
雖然 CryptoLocker 不會將私鑰儲存在檔案系統上的任何位置,它確實需要將其保留在記憶體中持續加密檔案。因此,假設您可以捕獲活動的 CryptoLocker 進程,知道私鑰的長度,並且知道使用了什麼加密,理論上您可以循環遍歷每個位,嘗試解密特定的(小)檔案。
答案1
如果軟體對於公鑰加密的正確使用具有模糊的智能,那麼轉儲記憶體內容不會對您有任何幫助。如果您需要強制轉儲內存,這個問題有一個方便的答案:如何創建電腦凍結或崩潰的記憶體轉儲?
公鑰加密技術利用非對稱加密,其中一半密鑰用於加密訊息,並且您必須使用金鑰的另一半來解密。您無法使用相同半密鑰來解密使用該半密鑰加密的訊息(或檔案)。
您可以使用公鑰來解密使用私鑰建立的訊息,或使用私鑰解密使用公鑰建立的訊息,但不能使用私鑰-私鑰或公鑰-公鑰。
來自密碼鎖維基百科頁:
首次運行時,有效負載會將自身安裝在使用者設定檔資料夾中,並向註冊表添加一個鍵,使其在啟動時運行。然後,它嘗試聯繫多個指定的命令和控制伺服器之一;一旦連接,伺服器產生 2048 位元 RSA 金鑰對,並將公鑰傳回受感染的計算機…
然後,有效負載對本機硬碟和映射網路磁碟機上的檔案進行加密用公鑰。
因為您只有一半的密鑰,所以您所能做的就是加密訊息(檔案)。您需要金鑰的另一部分來執行必要的操作並還原檔案。
在這種情況下,轉儲記憶體內容對您來說沒有用,因為它包含的所有內容都會使事情繼續變得更糟。
你的電腦絕不持有兩個都鑰匙的一部分,除非您獲得鑰匙之後。
為了進一步詳細說明...
公鑰加密的一個問題是,由於金鑰大小較大,與對稱金鑰(可逆)加密相比,使用公鑰加密的計算成本較高。因此,許多系統使用公鑰加密技術來安全地交換對稱金鑰,然後將其用於以較低開銷進行進一步通訊。
在這種情況下,儘管使用更簡單的對稱金鑰是不必要的,並且會對惡意軟體作者不利。如果他們使用對稱密鑰,那麼您可以像您猜測的那樣,簡單地將所有內存強制寫入磁碟,並開始在加密檔案上摩擦內存塊,直到它們打開。不過,這仍然需要很長時間,而且考慮到檢查密鑰的內存量,我懷疑這是不可行的。透過避開對稱金鑰階段,它們以更高的計算要求為代價增加了影響力。
一旦惡意軟體啟動,您至少已經丟失了一些文件,並且透過選擇其目標的文件類型和文件大小,它們可以利用可用資源造成最大程度的損害。即使使用更昂貴的非對稱加密,即使功耗較低的現代 CPU 也可能在您注意到之前就獲得大量加密。
透過使用公鑰加密技術,他們可以確保您需要他們給你解鎖鑰匙。如果沒有他們給你,你就無能為力。