我试图分析一些恶意软件。正如您所期望的那样,恶意软件的功能可能会有些复杂。我相信我已经发现了在删除密钥(从内存中)之前使用AES密钥的大致时间。因为这种情况发生得如此之快,我没有时间去核心转发过程以找到解密密钥。
我的问题是,我应该如何看待系统上的所有内存读取(或更重要的是写入)?是的,我知道这很多。但是,在知道一个小的时间窗口(第二或第二个)之间,并了解密钥必须具有给定格式之间,我认为可以将可能的密钥缩小到合理的密钥空间。
编辑:可悲的是,关于要求使用工具的问题已经引起了很多关注。让我们清楚地说明这一点。我没有要求工具推荐。 :-)同样,如果还有其他审查问题,请随意提出,我可以进一步修改我的问题。