著者
竹林 康太 上原 哲太郎 佐々木 良一
出版者
一般社団法人情報処理学会
雑誌
研究報告マルチメディア通信と分散処理(DPS)
巻号頁・発行日
vol.2015, no.38, pp.1-6, 2015-02-26

近年注目されているライブフォレンジックに関連する研究として,メモリダンプを用いる方法について考案する.ここでは,暗号化ツールの一つである TrueCrypt がランサムウェアにより悪用されたという前提のもと,暗号を掛けられたファイルの解読方法について紹介する.また,本提案手法に基づいた実験を行い,本提案手法による解読が正しく行えることを示した.さらに,本提案手法を実装したプログラム上ではおよそ一分半で解読が完了するとの予測を立てた.本提案方式を活用することにより,ユーザの重要なファイルを暗号化するランサムウェアに対向するための一手段として用いられることが期待される.As a related research in recent years attention that has been live forensics, to devise how to use a memory dump. Here, under the assumption that TrueCrypt is one of the encryption tool was being exploited by ransomware, I will introduce decipher how the file that has been multiplied by the cipher. Also conducted experiments based on the proposed method, it was shown that can be performed correctly decrypted according to the proposed method. In addition, on a program that implements the proposed method was made a prediction of the decoding is completed in about one and a half minutes. By utilizing the proposed method, it is expected to be used as a means for opposing the ransomware to encrypt the key file of the user.