Können Sie den RAM-Inhalt unverändert unter Windows in das Dateisystem kopieren

1396
Nicholas Summers

Meine Frage: Kann ich den Inhalt des RAM in das Dateisystem kopieren? (Windows)

Ist es außerdem möglich, den RAM-Inhalt für einen bestimmten Prozess zu kopieren?

Grund:

Hierbei geht es weitgehend um CryptoLocker (und ähnliche Malware). Dadurch können Daten schnell wiederhergestellt werden, ohne dass der von ihnen verwendete private Schlüssel bezahlt werden muss.

Während CryptoLocker den privaten Schlüssel nicht im Dateisystem speichert, muss er im Speicher bleiben, um Dateien kontinuierlich zu verschlüsseln. Vorausgesetzt, Sie können einen aktiven CryptoLocker-Prozess erfassen, die Länge des privaten Schlüssels kennen und wissen, welche Verschlüsselung verwendet wurde, könnten Sie theoretisch jedes Bit durchlaufen, um eine bestimmte (kleine) Datei zu entschlüsseln.

-1
Es ist in der Tat möglich, bei einer Windows-Installation alle Daten im Speicher abzulegen. Natürlich wäre es nicht sehr hilfreich, da Sie die genaue Start- und Endadresse wissen müssen und dies nicht feststellen können. Natürlich scheint der Schlüssel selbst zufällig zu sein, daher ist die Wahrscheinlichkeit, dass Sie ihn tatsächlich finden, so gering, dass er nicht einmal in Worten ausgedrückt werden kann. Es gibt bessere Möglichkeiten, um CryptoLocker zu vermeiden, um die Infektion zu verhindern, anstatt die Infektion tatsächlich zuzulassen Ramhound vor 8 Jahren 1
Mögliches Duplikat von [Wie kann ich den Speicher eines Prozesses in Windows 7 sichern?] (Http://superuser.com/questions/133938/how-can-i-dump-the-memory-of-a-process-in -windows-7), siehe auch [Wie erstelle ich einen Speicherabzug für das Einfrieren oder Absturz meines Computers?] (http://superuser.com/questions/224496/how-do-i-create-a-memory-dump) -von-mein-computer-einfrieren oder -absturz) Ƭᴇcʜιᴇ007 vor 8 Jahren 4
Es ist möglich, da dies der Winterschlaf ist. Keltari vor 8 Jahren 0
Warum diese Idee unrealistisch ist. Alles, was es braucht, ist eine Verschiebungsoperation innerhalb von CryptoLocker, um den Speicherauszug unbrauchbar zu machen. Mit anderen Worten, es wäre trivial, den privaten Schlüssel vor einer solchen Basisaktion zu schützen. Da wäre auch die ganze Tatsache, was sich im Speicher befinden würde, der öffentliche Schlüssel, nicht der private Schlüssel ..... * Der private Schlüssel wird sicher auf dem Server des Kriminellen gespeichert und nur heruntergeladen, wenn Sie ihn bezahlen über asynchrone Verschlüsselung funktioniert -> Privat = Entschlüsseln; Public = Verschlüsseln. Ramhound vor 8 Jahren 4
@Ramhhound Ihre Annahmen zur Funktionsweise von öffentlichen und privaten Schlüsseln sind falsche öffentliche Schlüssel sind Bezeichner, die nicht zur Verschlüsselung verwendet werden. Für die bidirektionale Verschlüsselung ist ein Schlüssel zum Verschlüsseln und Entschlüsseln von Informationen erforderlich. Öffentliche Schlüssel identifizieren Sie nur Nicholas Summers vor 8 Jahren 0
Sorry @NickJ, aber nur weil es üblich ist, einen Sitzungsschlüssel für den Schlüsselaustausch mit einem öffentlichen Schlüssel zu verschlüsseln und dann * diesen * Sitzungsschlüssel für die Verschlüsselung zu verwenden, bedeutet dies nicht, dass es schwierig oder gar nicht praktikabel ist, nur den öffentlichen Schlüssel zu verwenden an erster Stelle für die Verschlüsselung. Es ist durchaus sinnvoll, einmalig einen öffentlichen / privaten Schlüssel zu generieren, den privaten Schlüssel abzusenden (alle Beweise davon zu zerstören) und dann alle Dateien mit dem öffentlichen Schlüssel zu verschlüsseln. Öffentliche / private Schlüssel basieren auf einer asymmetrischen Verschlüsselung, bei der nur der öffentliche Schlüssel den Inhalt einer privaten Nachricht entschlüsseln kann und umgekehrt. Mokubai vor 8 Jahren 0
Grundsätzlich kann der öffentliche Schlüssel * nichts entschlüsseln, was mit dem öffentlichen Schlüssel verschlüsselt wurde, noch kann der private Schlüssel etwas entschlüsseln, das mit dem privaten Schlüssel verschlüsselt ist. Sie benötigen beide Teile des Schlüssels, um die Entschlüsselung durchzuführen. Dies wird durch Cryptolocker ohne verhindert du zahlst http://searchsecurity.techtarget.com/definition/asymmetric-cryptography https://en.wikipedia.org/wiki/Public-key_cryptography Mokubai vor 8 Jahren 0
@Mokubai ist wahr. Wenn der Entwickler jedoch den resultierenden Schlüssel für die Verschlüsselung in einer Variablen speichert, wird diese Variable als Nur-Text im Arbeitsspeicher gespeichert Nicholas Summers vor 8 Jahren 0
Sie haben jedoch nur eine Hälfte des Schlüssels, den Sie für die * Verschlüsselung * benötigen. Sie haben nicht den für die Entschlüsselung erforderlichen Teil des Schlüssels. Die Software muss sich nicht darum kümmern, den geheimen Schlüssel aufzubewahren. Der einzige Ort, an dem sie gespeichert wird, wird auf einem Remote-Server gespeichert, sobald Sie bezahlt haben. Es benötigt * nicht * die zweite Hälfte des Schlüssels * für die Verschlüsselung. Lesen Sie den Link, den ich zur Kryptographie mit öffentlichen Schlüsseln gegeben habe. Mokubai vor 8 Jahren 0

1 Antwort auf die Frage

2
Mokubai

Das Ablegen des Speicherinhalts hilft Ihnen hier nicht, wenn die Software die korrekte Verwendung der Public-Key-Kryptographie nur vage klug ist. Wenn Sie Ihr Gedächtnis zwangsweise entleeren müssen, gibt es eine praktische Antwort auf diese Frage: Wie erstelle ich einen Arbeitsspeicherauszug meines Computers?

Public - Key - Kryptographie nutzt asymmetrische Verschlüsselung, wobei die eine Hälfte des Schlüssels verwendet wird, eine Nachricht zu verschlüsseln und Sie müssen die andere Hälfte des Schlüssels verwenden, um es zu entschlüsseln. Sie können nicht dieselbe Hälfte des Schlüssels zum Entschlüsseln einer Nachricht (oder Datei) verwenden, die mit dieser Hälfte des Schlüssels verschlüsselt wurde.

Sie können einen öffentlichen Schlüssel verwenden, um eine mit dem privaten Schlüssel erstellte Nachricht zu entschlüsseln, oder den privaten Schlüssel verwenden, um eine mit dem öffentlichen Schlüssel erstellte Nachricht zu entschlüsseln, jedoch nicht privat, privat oder öffentlich-öffentlich.

Von der Cryptolocker-Wikipedia- Seite:

Bei der ersten Ausführung installiert sich die Payload im Benutzerprofilordner und fügt der Registrierung einen Schlüssel hinzu, der bewirkt, dass sie beim Start ausgeführt wird. Anschließend versucht es, einen von mehreren bestimmten Befehls- und Steuerungsservern zu kontaktieren. Sobald der Server verbunden ist, generiert er ein 2048-Bit-RSA-Schlüsselpaar und sendet den öffentlichen Schlüssel an den infizierten Computer zurück .

Die Payload verschlüsselt dann Dateien auf lokalen Festplatten und zugeordneten Netzlaufwerken mit dem öffentlichen Schlüssel .

Da Sie nur eine Hälfte des Schlüssels besitzen, können Sie nur Nachrichten (Dateien) verschlüsseln. Sie benötigen den anderen Teil des Schlüssels, um die erforderlichen Dateien wiederherzustellen.

In diesem Fall ist das Ablegen des Speicherinhalts für Sie nicht nützlich, da er lediglich die Möglichkeit bietet, die Dinge weiter zu verschlimmern.

Ihr Computer nie hält die beiden Teile des Schlüssels, mit der Ausnahme, nachdem Sie es erhalten haben.

Um weiter auszuarbeiten ...

Ein Problem bei der Verschlüsselung mit öffentlichen Schlüsseln besteht darin, dass aufgrund der größeren Schlüsselgrößen im Vergleich zu einer (reversiblen) symmetrischen Verschlüsselung rechenintensiv ist. Aus diesem Grund verwenden viele Systeme Kryptografie mit öffentlichem Schlüssel, um einen symmetrischen Schlüssel sicher auszutauschen, der dann für die weitere Kommunikation mit geringerem Overhead verwendet wird.

In diesem Fall ist jedoch die Verwendung des einfacheren symmetrischen Schlüssels nicht erforderlich und würde gegen den Malware-Autor funktionieren. Wenn sie einen symmetrischen Schlüssel verwenden, können Sie, wie Sie sich vorstellen, einfach den gesamten Speicher auf die Festplatte erzwingen und damit beginnen, die verschlüsselten Dateien mit Blöcken des Speichers zu reiben, bis sie sich öffnen. Dies wird jedoch noch lange dauern, und ich vermute, dass dies angesichts der Speichermenge, die auf Schlüssel überprüft werden sollte, undurchführbar wäre. Durch den Verzicht auf eine symmetrische Schlüsselphase erhöhen sie ihre Wirkung auf Kosten höherer Rechenanforderungen.

Wenn die Malware einmal gestartet ist, haben Sie bereits einige Dateien verloren. Durch die Auswahl der Dateitypen und -größen können sie mit den verfügbaren Ressourcen maximalen Schaden anrichten. Selbst bei einer geringeren Leistung können moderne CPUs selbst bei der teureren asymmetrischen Verschlüsselung wahrscheinlich schon verschlüsselt werden, bevor Sie auffallen.

Durch die Verwendung der Kryptografie mit öffentlichen Schlüsseln stellen sie sicher, dass Sie sie benötigen, um Ihnen den Entriegelungsschlüssel zu geben. Ohne dass sie es dir geben, kannst du nichts tun.

Verwandte Probleme