2

这是我的第一篇文章!事情就是这样。CryptoDefense(Cryptolocker 的竞争对手)在今年 2 月底席卷了互联网。由于它在它加密的所有文件夹中生成文本文件,我什至计划使用第一个文本文件的时间戳来强制其 PRNG在计算上可管理的时间内生成密钥。

现在发生的事情是,我最近发现它的私有 RSA 密钥存储在 Windows Key Store 中,我能够看到它的第一个字符。其余的似乎通过 DPAPI(Microsoft 的数据保护 API)受到保护。我的问题是:如何解密 DPAPI?而且,另一个是:有没有办法用这些信息重建私钥?

4

1 回答 1

0

这可以使用dpapick来完成(通过一些工作) ,这是一个用于离线解密 DPAPI 数据的 Python 工具。您将需要用户的密码,但其余的将为您完成。v0.3 中添加了证书处理。这假设恶意软件没有添加额外的“盐”(额外的秘密),但由于它似乎是一个偶然的功能,我怀疑情况并非如此......

于 2014-05-09T19:36:32.807 回答