在内存DUMP文件中搜索RSA密钥

admin
admin
admin
138719
文章
114
评论
2025年2月8日00:33:38评论5 views字数 578阅读1分55秒阅读模式
 

此前笔者分享过两篇勒索病毒解密的文章,解密工具都是通过在内存DUMP文件中搜索可能的解密的key,然后再进行暴力破解解密文件,这种方式可以适用于一部分勒索病毒解密方法,详细信息参考下面的两篇文章即可。

《深度揭密LooCipher勒索病毒解密工具技术原理》

《Avaddon勒索病毒解密工具及原理》

今天给大家介绍一个开源的项目,在内存DUMP文件中搜索RSA密钥信息,项目地址:

https://github.com/congwang/rsakeyfind

源码分析

 

1.该工具可以通过两种方式来搜索内存DUMP中的RSA密钥信息,如下所示:

在内存DUMP文件中搜索RSA密钥

2.读取内存DUMP文件,如下所示:

在内存DUMP文件中搜索RSA密钥

3.第一种方法,是已知公钥文件,读取已知的公钥文件,如下所示:

在内存DUMP文件中搜索RSA密钥

4.然后搜索内存DUMP文件中BER编码的RSA公钥或私钥,如下所示:

在内存DUMP文件中搜索RSA密钥

5.另外一种方法,不用知道任何密钥信息,在内存DUMP文件中搜索BER编码的RSA版本信息,再尝试将周围的数据解析为BER编码,获取RSA密钥信息,RSA密钥BER编码之后的版本信息,如下所示:

在内存DUMP文件中搜索RSA密钥
还可以在内存DUMP文件中搜索AES密钥信息,有兴趣的可以自行参考开源项目

https://github.com/dbrant/keyfind_aes_rsa

总结结尾

王正

笔名:熊猫正正

 

原文始发于微信公众号(安全分析与研究):在内存DUMP文件中搜索RSA密钥

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月8日00:33:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   在内存DUMP文件中搜索RSA密钥https://cn-sec.com/archives/3711359.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息