Supponendo un sistema cifrato su disco completo in cui la memoria non volatile è crittografata.
Mentre il sistema è in esecuzione, in caso di arresto anomalo della memoria, ad es. collegando un'unità USB provocando un errore IRQL_NOT_LESS_OR_EQUAL, quali sono i rischi che le chiavi di crittografia siano contenute in quel file di immagine della memoria?
Come variante, supponiamo un ambiente in cui hai un contenitore crittografato seduto e il sistema si blocca in quel momento.
In tutti gli scenari in cui sul disco è presente qualcosa crittografato, ma decodificato al volo mentre il sistema è in esecuzione e si verifica un arresto anomalo del sistema, sussiste il rischio che i dump della memoria contengano chiavi di crittografia o qualcosa che possa portarli?
Caso locale :
Lo scenario sopra mi è appena successo e ho fatto un'analisi locale.
Ho aperto% SystemRoot% \ MEMORY.DMP con un editor esadecimale e ho cercato password o passphrase ma non li ho trovati. Tuttavia, è possibile che siano ancora contenuti in un'altra forma o che ci sia qualcosa che li porta a trovarli?