您能否将 RAM 内容按原样复制到 Windows 上的文件系统?

您能否将 RAM 内容按原样复制到 Windows 上的文件系统?

我的问题:是否可以将 RAM 的内容复制到文件系统?(Windows)

此外,是否可以复制特定进程的 RAM 内容?

原因:

这主要围绕 CryptoLocker(以及类似的恶意软件)并使得可以快速恢复数据而无需支付其使用的私钥费用。

虽然 CryptoLocker 不会将私钥存储在文件系统的任何地方,它确实需要将其保存在内存中持续加密文件。因此,只要您能捕获活动的 CryptoLocker 进程、知道私钥的长度,并且知道使用了哪种加密,理论上您就可以循环遍历每个位,尝试解密特定的(小)文件。

答案1

如果软件对公钥加密的正确使用还不够了解,那么转储内存内容对您来说毫无帮助。但是,如果您需要强制转储内存,那么这个问题有一个方便的答案:如何创建计算机冻结或崩溃的内存转储?

公钥加密利用非对称加密,其中一半密钥用于加密消息,而你必须使用密钥的另一半来解密。您不能使用同一半密钥来解密使用该半密钥加密的消息(或文件)。

您可以使用公钥解密使用私钥发送的消息,或者使用私钥解密使用公钥创建的消息,但不能解密私钥对私钥或公钥对公钥的消息。

来自Cryptolocker 维基百科页:

首次运行时,有效载荷会自行安装在用户配置文件文件夹中,并在注册表中添加一个键,使其在启动时运行。然后,它会尝试联系几个指定的命令和控制服务器之一;一旦连接,服务器生成 2048 位 RSA 密钥对,并将公钥发送回受感染的计算机...

然后,有效载荷会加密本地硬盘和映射网络驱动器上的文件使用公钥

由于您只有一半的密钥,所以您所能做的就是加密消息(文件)。您需要另一部分密钥才能执行必要的操作并恢复文件。

在这种情况下,转储内存内容对您没有用,因为它包含的只是让事情继续变得更糟的方法。

你的电脑绝不持有两个都钥匙的各个部分,除非你已经拿到了钥匙。


进一步阐述...

公钥加密的一个问题是,由于密钥较大,与对称密钥(可逆)加密相比,公钥加密的计算成本较高。因此,许多系统使用公钥加密来安全地交换对称密钥,然后以较低的开销使用该密钥进行进一步通信。

在这种情况下,使用更简单的对称密钥是不必要的,而且会对恶意软件作者不利。如果他们使用对称密钥,那么正如您所猜测的那样,您可以简单地将所有内存强制写入磁盘,并开始将内存块摩擦到加密文件上,直到它们打开。不过,这仍然需要很长时间,而且我怀疑考虑到检查密钥的内存量,这将是不可行的。通过避开对称密钥阶段,他们以更高的计算要求为代价增加了影响力。

一旦恶意软件启动,您至少已经丢失了一些文件,通过选择目标文件类型和文件大小,它们可以利用可用资源造成最大破坏。即使是功率较低的现代 CPU 也可能在您注意到之前加密大量数据,即使使用更昂贵的非对称加密。

通过使用公钥加密,他们可以确保你需要他们给你解锁钥匙。如果他们不给你,你就什么也做不了。

相关内容