檢測勒索軟體文件加密的雜湊比較
正如另一個問題中所詳述的那樣,我認為我有一種方法可以檢測出加密文件的勒索軟體類型,然後即時解密它們,以防止使用者意識到文件已被加密。我認為現在與過去文件雜湊的比較可以檢測文件更改:如果許多文件意外更改,那麼這些更改可能是由於勒索軟體加密造成的。
對該問題的評論似乎說我的概念失敗了,因為必須讀取文件才能進行散列。勒索軟體將使散列工具可以使用文件的內容;該工具會發現內容似乎沒有變化;因此我會得到與以前相同的雜湊值。
我不明白。看來我需要在這個單獨的問題中解決它。如果散列只考慮文件的內容,難道不是不可能散列使用者已安全加密的文件嗎?
密碼學討論似乎說,文件的雜湊值可能會根據使用公鑰加密的時間而有所不同。我將其解釋為意味著加密過程中的變化會產生散列值的變化。這似乎與散列不會檢測到加密文件(即使在執行中解密)與其先前未加密形式之間的任何差異的一般說法不相容。
我在這裡想念什麼?
我不明白
如果您的系統被感染,則無法保證您讀取了真實的文件內容,因為它儲存在磁碟上。可能是文件被勒索軟體加密。當您請求應用程序讀取它時,它會呼叫作業系統。如果勒索軟體感染了系統,它會讀取加密的內容,對其進行解密,然後提供給作業系統,進而提供給您的應用程序。只要您使用受感染的系統,您就無法知道磁碟上的真實內容是什麼。
檢測加密的唯一可靠方法是使用其他系統讀取文件。從 U 盤啟動,創建文件的雜湊值,不時重複,例如每天或每週。當然,這與您立即檢測更改的願望不同。
不是不可能散列使用者已安全加密的文件嗎?
您可以散列任何文件。只有您知道您是否已加密文件。對於操作和勒索軟體沒有區別:任何文件都只是一組字節。如果您加密文件,計算雜湊,將文件寫入磁碟,然後將其讀回,您將得到您所寫入的內容(您的加密文件)。但是你不會知道在保存到磁碟之前它是否被勒索軟體加密,讀取之後是否被解密。
文件的雜湊值可能會根據使用公鑰加密的時間而有所不同
- 不是普通文件的雜湊,但加密結果可能會有所不同。因此,對於不同的文件,您將獲得不同的雜湊值。
- 同一個文件的加密結果可能會有所不同,但不是因為時間問題。例如,您可以在同一台電腦上同時在 100 個並行執行緒上使用相同的密碼對**同一個文件進行AES GCM 加密,它們都會產生不同的結果。但是解密後,它們都會產生相同的原始文件。