密钥查找方法、装置、计算设备及存储介质与流程

1.本发明实施例涉及解密技术领域，特别涉及一种密钥查找方法、装置、计算设备及存储介质。


背景技术：

2.勒索软件是一种将用户文件加密以阻止用户访问其文件，然后要求用户支付赎金以对加密文件进行解密，从而使用户重新获得文件访问权限的恶意软件。近年来，勒索软件攻击不断变化演变，勒索攻击事件已然成为网络安全领域最活跃的威胁之一。网络安全公司不断发布解密工具，以帮助用户解密其被勒索软件加密的文件。
3.现有技术中，一般是在勒索攻击事件发生后，由网络安全公司对勒索攻击事件进行分析，然后发布解密工具进行解密。可见，用户文件从在被勒索软件加密之后至文件解密的时间段较长，影响用户体验。


技术实现要素：

4.基于现有技术中用户文件被加密时间段较长影响用户体验的问题，本发明实施例提供了一种密钥查找方法、装置、计算设备及存储介质，能够快速查找到密钥，提高用户体验。
5.第一方面，本发明实施例提供了一种密钥查找方法，包括：
6.当确定被勒索软件感染的设备满足设定条件时，获取被所述勒索软件加密的目标文件和所述目标文件被加密前的原始文件；所述设定条件包括所述勒索软件感染设备之后未结束进程；
7.确定所述勒索软件所采用加密算法对应的特征值；
8.在内存中查找出与所述特征值相匹配的若干个潜在密钥；
9.根据所述目标文件和所述原始文件，从所述若干个潜在密钥中确定出正确密钥。
10.优选地，所述获取被所述勒索软件加密的目标文件和所述目标文件被加密前的原始文件，包括：
11.确定未被加密的原始文件；
12.将所述原始文件传输至被勒索软件感染的设备中，所述勒索软件加密所述原始文件，得到所述目标文件。
13.优选地，所述获取被所述勒索软件加密的目标文件和所述目标文件被加密前的原始文件，包括：
14.将被所述勒索软件加密的所有系统文件中存在备份文件的任一系统文件确定为所述目标文件，将所述目标文件对应的备份文件确定为所述原始文件。
15.优选地，在所述在内存中查找出与所述特征值相匹配的若干个潜在密钥之前，还包括：
16.对所述勒索软件的进程执行挂起操作；
17.在被勒索软件感染的设备内存中，获取所述勒索软件的进程所对应的目标内存，在所述目标内存中执行所述查找出与所述特征值相匹配的若干个潜在密钥。
18.优选地，所述获取所述勒索软件的进程所对应的目标内存，包括：
19.基于cmd命令调用内存转储工具，利用所述内存转储工具对所述勒索软件的进程进行内存转储，得到转储后的目标内存。
20.优选地，所述根据所述目标文件和所述原始文件，从所述若干个潜在密钥中确定出正确密钥，包括：
21.利用每一个潜在密钥分别对所述目标文件进行解密，并比对解密后得到的文件与所述原始文件是否相同，将比对结果相同的潜在密钥确定为正确密钥。
22.优选地，在比对解密后得到的文件与所述原始文件是否相同之前，还包括：
23.判断解密后得到的文件与所述原始文件的大小是否相同；
24.若不同，则将该解密后得到的文件进行截断处理，以使截断处理后的文件大小与所述原始文件的大小相同。
25.第二方面，本发明实施例还提供了一种密钥查找装置，包括：
26.文件获取单元，用于当确定被勒索软件感染的设备满足设定条件时，获取被所述勒索软件加密的目标文件和所述目标文件被加密前的原始文件；所述设定条件包括所述勒索软件感染设备之后未结束进程；
27.特征值确定单元，用于确定所述勒索软件所采用加密算法对应的特征值；
28.潜在密钥查找单元，用于在内存中查找出与所述特征值相匹配的若干个潜在密钥；
29.正确密钥确定单元，用于根据所述目标文件和所述原始文件，从所述若干个潜在密钥中确定出正确密钥。
30.第三方面，本发明实施例还提供了一种计算设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本说明书任一实施例所述的方法。
31.第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行本说明书任一实施例所述的方法。
32.本发明实施例提供了一种密钥查找方法、装置、计算设备及存储介质，若被勒索软件感染的设备在被勒索软件感染后并未执行内存清理操作，则勒索软件用于加密文件的密钥还存在内存之中，基于勒索软件所采用加密算法的特征值，便可以在内存中查找到可能是正确密钥的潜在密钥，然后利用被勒索软件加密的目标文件以及该目标文件被加密前的原始文件，基于每一个潜在密钥的解密过程可确定出潜在密钥中的正确密钥。可见，本方案在设备被勒索软件感染之后，即可快速查找到用于解密的密钥，用户等待时间较短，从而可以提高用户体验。
附图说明
33.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明
的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
34.图1是本发明一实施例提供的一种密钥查找方法流程图；
35.图2是本发明一实施例提供的一种计算设备的硬件架构图；
36.图3是本发明一实施例提供的一种密钥查找装置结构图；
37.图4是本发明一实施例提供的另一种密钥查找装置结构图。
具体实施方式
38.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
39.如前所述，解密相关的现有技术一般是在勒索攻击事件发生后，由网络安全公司对勒索攻击事件进行分析，然后发布解密工具进行解密。可见，用户文件从在被勒索软件加密之后至文件解密的时间段较长，用户在等待解密期间，无法进行任何与被加密文件相关的工作，从而影响用户体验。
40.考虑到有一些勒索软件在对用户文件加密之后，并不会删除内存中对文件进行加密的密钥。基于此，当用户文件被勒索软件加密之后，若勒索软件一直处于进程状态，即该勒索软件的进程未被结束过，则表明勒索软件进程对应的内存未被清理过，可以考虑在内存中查找可能的密钥。另外，为了能够在可能的密钥中查找到正确的密钥，还需要使用被勒索软件加密的文件以及该文件的未被加密的原始文件。因此，本方案提供了一种密钥查找方法，可以在用户文件被勒索软件加密之后，快速查找到正确的密钥，从而对被加密文件进行解密。
41.下面描述以上构思的具体实现方式。
42.请参考图1，本发明实施例提供了一种密钥查找方法，该方法包括：
43.步骤100，当确定被勒索软件感染的设备满足设定条件时，获取被所述勒索软件加密的目标文件和所述目标文件被加密前的原始文件；所述设定条件包括所述勒索软件感染设备之后未结束进程。
44.步骤102，确定所述勒索软件所采用加密算法对应的特征值。
45.步骤104，在内存中查找出与所述特征值相匹配的若干个潜在密钥。
46.步骤106，根据所述目标文件和所述原始文件，从所述若干个潜在密钥中确定出正确密钥。
47.本发明实施例中，由于被勒索软件感染的设备在被勒索软件感染后并未执行内存清理操作，因此，勒索软件用于加密文件的密钥还存在内存之中，基于勒索软件所采用加密算法的特征值，可以在内存中查找到可能是正确密钥的潜在密钥，然后利用被勒索软件加密的目标文件以及该目标文件被加密前的原始文件，基于每一个潜在密钥的解密过程可确定出潜在密钥中的正确密钥。可见，本方案在设备被勒索软件感染之后，即可快速查找到用于解密的密钥，用户等待时间较短，从而可以提高用户体验。
48.下面描述图1所示的各个步骤的执行方式。
49.首先针对步骤100，当确定被勒索软件感染的设备满足设定条件时，获取被所述勒索软件加密的目标文件和所述目标文件被加密前的原始文件；所述设定条件包括所述勒索软件感染设备之后未结束进程。
50.勒索软件攻击者在对系统文件加密之后，可能并未删除内存中对文件进行加密的密钥。若需要在内存中能够查找到该密钥，则需要满足如下设定条件：勒索软件感染设备之后未结束进程(记为条件一)。
51.上述设定条件的设置，是基于对如下内容的考虑：若勒索软件结束进程，则该勒索软件的进程所占用的内存会被释放或破坏，影响密钥查找结果；若勒索软件结束进程后又重新开启进程，一来原有进程的内存被释放或破坏，二来重启进程后，勒索软件使用的密钥可能与原有进程使用的密钥不同。因此，需要满足勒索软件感染设备之后未结束进程的条件。
52.本发明实施例中，确定被勒索软件感染的设备是否满足该设定条件可以通过查看日志的方式确定，以查看日志在设备被勒索软件感染至当前时间点之间的时间段内该勒索软件的进程是否被结束过。比如，查看该时间段之间是否存在设备重启操作、是否存在进程中断操作等。
53.为了能够查找到内存中的密钥，除上述条件一以外，还需要满足条件二：存在被勒索软件加密的一个文件以及该文件被加密前的原始文件。
54.为满足上述条件二，本发明实施例中，至少可以通过如下两种方式来实现：
55.方式一、被加密的所有系统文件均没有备份文件。
56.方式二、被加密的系统文件中存在备份文件。
57.下面针对上述两种方式分别对本步骤中获取目标文件和原始文件的方式进行说明。
58.在方式一中，由于被加密的所有系统文件均没有备份文件，本发明一个实施例中，本步骤获取目标文件和原始文件的方式可以包括：确定未被加密的原始文件；将所述原始文件传输至被勒索软件感染的设备中，所述勒索软件加密所述原始文件，得到所述目标文件。
59.其中，该未被加密的原始文件可以为被感染设备外部的文件。
60.在确定原始文件之后，可以将该原始文件通过u盘传输、蓝牙传输、网络传输等方式传输至被勒索软件感染的设备中。由于勒索软件的进程未结束，因此，在将原始文件传输至被勒索软件感染的设备中之后，该原始文件会被勒索软件加密，将该加密后的文件确定为目标文件。
61.在方式一中，通过将外部原始文件传输至被勒索软件感染的设备中，可以准确确定原始文件在被加密之后目标文件的位置，为解密查找正确密钥的过程提供准确的原始文件和目标文件，从而提高查找结果的准确性和查找速度。
62.在方式二中，由于被加密的系统文件中存在备份文件，本发明一个实施例中，本步骤获取目标文件和原始文件的方式可以包括：将被所述勒索软件加密的所有系统文件中存在备份文件的任一系统文件确定为所述目标文件，将所述目标文件对应的备份文件确定为所述原始文件。
63.在方式二中，由于被加密的系统文件中存在备份文件，那么无需从外部将文件传
入被勒索软件感染的设备中，则可以获取到原始文件和目标文件，可以提高目标文件和原始文件的获取速度，且可以避免在将外部文件向被感染的设备进行传输过程中，外部文件的源端设备被间接感染的情况发生，从而保证整个系统的安全性。
64.不管是利用上述方式一还是方式二，均可以获取到目标文件和原始文件，从而使得方案满足上述条件二，进而可以继续后续密钥查找过程。
65.然后针对步骤102，确定勒索软件所采用加密算法对应的特征值。
66.加密算法可以包括：des、rsa、sha、aes、ecc等。不同的加密算法对应不同的特征值，且每一种加密算法对应的特征值可以基于加密算法发布方提供的说明文档确定对应特征值的计算方式和计算参数，进而计算出加密算法对应的特征值。
67.举例来说，对于aes256加密算法，其说明文档包括如下部分内容：
[0068][0069]
根据说明文档中key_data_s结构体的说明，可以获知alg＝0x00006610，keysize＝0x00000020，flags＝0x1，然后基于上述内容可以计算出特征值为1066000001000000200000000。
[0070]
在本发明一个实施例中，本步骤102中可以利用如下两种方式确定勒索软件所采用加密算法对应的特征值：
[0071]
方式a、基于目标文件和原始文件确定。
[0072]
方式b、将所有加密算法分别对应的特征值均确定为勒索软件所采用加密算法的特征值。
[0073]
下面对上述两种方式分别进行说明。
[0074]
在方式a中，由于目标文件为原始文件加密后的文件，为确定对原始文件进行加密的加密算法，需要获取至少三个样本对，每一个样本对均包括目标文件和对应的原始文件。
[0075]
针对每一个已知加密算法，利用该加密算法对每一个样本对中的目标文件进行加密，并计算加密后的文件哈希值与对应原始文件的哈希值的差值；将所有样本对中差值均值最小加密算法确定为勒索软件所采用的加密算法。
[0076]
在确定了加密算法之后，可以确定出该加密算法的特征值。
[0077]
通过方式a，可以确定出加密算法的特征值，进而在后续步骤104中只需查找出与该特征值匹配的潜在密钥，相对于方式b，潜在密钥个数更少，从而可以提高正确密钥的确定速度。
[0078]
在方式b中，可以将所有加密算法分别对应的特征值均确定为勒索软件所采用加密算法的特征值，如此，可以针对每一个特征值执行步骤104，以查找出所有可能的潜在密钥。
[0079]
通过方式b，虽然确定出的潜在密钥个数相对于方式a较多，但是，利用这些潜在密钥确定正确密钥时，潜在密钥中存在正确密钥的概率更大，从而能够提高正确密钥的确定概率。
[0080]
除上述方式a和方式b以外，还可以基于常见勒索软件使用的加密算法确定特征值。
[0081]
接下来针对步骤104，在内存中查找出与所述特征值相匹配的若干个潜在密钥。
[0082]
在本发明实施例中，在内存中查找与特征值相匹配的潜在密钥时，可以在整个内存中查找。为了提高查找速度，在本步骤之前可以缩小查找内存的范围，具体地，可以包括：对所述勒索软件的进程执行挂起操作；在被勒索软件感染的设备内存中，获取所述勒索软件的进程所对应的目标内存，在所述目标内存中执行所述查找出与所述特征值相匹配的若干个潜在密钥。
[0083]
由于勒索软件处于进程状态时，该勒索软件的进程所对应的目标内存被锁定，无法访问目标内存，且勒索软件结束进程后，该目标内存会被释放或破坏，因此，可以通过将勒索软件进程挂起以获取目标内存。
[0084]
本发明实施例中，获取勒索软件的进程所对应的目标内存时，可以通过如下方式确定：基于cmd命令调用内存转储工具，利用所述内存转储工具对所述勒索软件的进程进行内存转储，得到转储后的目标内存。
[0085]
通过管理员身份运行cmd，利用cmd命令调用内存转储工具，比如该内存转储工具为procdump，在内存转储工具中输入勒索软件的进程id，从而利用内存转储工具定位勒索软件的进程所对应的内存位置，从而获取该内存位置处的文件，将该目标内存存储到指定位置处。利用cmd命令调用内存转储工具，可以准确、快速的获取到勒索软件进程对应的目标内存。
[0086]
需要说明的是，除上述方式以外，还可以使用其它方式获取目标内存，比如，可以通过/proc/pid/maps获得勒索软件进程的地址空间的内存映射情况，然后根据内存映射情况确定勒索软件进程所对应虚拟地址的物理地址，从而根据物理地址确定获取目标内存。
[0087]
本实施例中，当获取目标内存之后，可以将目标内存存储至解密工具的目录下，从而利用解密工具基于该目标内存进行潜在密钥的查找。
[0088]
本发明一个实施例中，在确定目标内存之后，可以在目标内存中查找出与特征值相匹配的若干个潜在密钥。
[0089]
在查找与特征值相匹配的潜在密钥时，可以通过遍历内存中的每一个数据，确定该数据是否满足特征值，若满足，则将该数据确定为潜在密钥。
[0090]
以256加密算法为例，密钥为16位，该加密算法的特征值表示为该密钥为16位，且每4位为一段，每一段均具有对应的特征，在匹配时，若数据为16位，且每一段均满足对应段的特征，则可以将该数据确定为潜在密钥。
[0091]
需要说明的是，当步骤102中确定特征值的方式不是基于目标文件和原始文件确定的时，该步骤100中获取被所述勒索软件加密的目标文件和所述目标文件被加密前的原
始文件的步骤(记为文件获取步骤)，与步骤102-104，其先后顺序可以不做限定，比如，先执行步骤102-104在执行文件获取步骤，也可以先执行文件获取步骤在执行步骤102-104，或者同时执行。
[0092]
最后针对步骤106，根据所述目标文件和所述原始文件，从所述若干个潜在密钥中确定出正确密钥。
[0093]
在本发明一个实施例中，本步骤可以通过命令行参数的方式来实现，在利用命令行参数实现时，需要确定原始文件的名称和目标文件的名称，然后将目标文件的名称进行分割，得到目标文件的名和后缀，将目标文件的后缀修改为与原始文件相同的后缀，从而可以快速利用命令行实现解密过程。
[0094]
本发明实施例中，本步骤可以包括：利用每一个潜在密钥分别对所述目标文件进行解密，并比对解密后得到的文件与所述原始文件是否相同，将比对结果相同的潜在密钥确定为正确密钥。
[0095]
具体执行过程中，可以每利用一个潜在密钥进行解密之后，则比对解密后得到的文件和原始文件，若相同，可以直接确定该潜在密钥为正确密钥，若不相同，则继续利用下一个潜在密钥执行解密比对过程，直到确定出正确密钥为止。
[0096]
在本发明一个实施例中，利用潜在密钥对目标文件进行解密过程中，可能解密后的文件中存在意外写入的数据，该解密过程可以包括：通过获取保护句柄，然后打开目标文件和指定文件，利用潜在密钥将目标文件解密，将解密后的数据写入指定文件中，然后释放哈希对象、释放潜在密钥以及释放保护句柄，此时指定文件即为解密后的文件。可见，在将解密后的数据写入指定文件中时，存在意外写入的数据，因此，为了保证比对结果的正确性，可以在比对解密后得到的文件与所述原始文件是否相同之前，判断解密后得到的文件与所述原始文件的大小是否相同；若不同，则将该解密后得到的文件进行截断处理，以使截断处理后的文件大小与所述原始文件的大小相同。
[0097]
具体地，在将解密后得到的文件进行截断处理时，可以根据原始文件的大小将解密后得到的文件的首端或尾端的block块进行删除，从而使得删除后的文件大小与原始文件大小相同。
[0098]
在本步骤中确定出正确密钥之后，可以利用该正确密钥对被该勒索软件感染的设备中所有被加密的系统文件进行解密。
[0099]
在利用解密工具对被加密的系统文件进行解密时，需要将被加密的系统文件的路径、解密后文件的路径和密钥路径进行输入，然后由解密工具对整个系统文件进行解密。
[0100]
本方案可以通过系统命令行实现，因此使用的工具均属于轻量化工具，利用这些轻量化工具可以不占用系统内存，从而对正常使用不造成影响。
[0101]
如图2、图3所示，本发明实施例提供了一种密钥查找装置。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言，如图2所示，为本发明实施例提供的一种密钥查找装置所在计算设备的一种硬件架构图，除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的计算设备通常还可以包括其他硬件，如负责处理报文的转发芯片等等。以软件实现为例，如图3所示，作为一个逻辑意义上的装置，是通过其所在计算设备的cpu将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种密钥查找装置，包括：
[0102]
文件获取单元301，用于当确定被勒索软件感染的设备满足设定条件时，获取被所述勒索软件加密的目标文件和所述目标文件被加密前的原始文件；所述设定条件包括所述勒索软件感染设备之后未结束进程；
[0103]
特征值确定单元302，用于确定所述勒索软件所采用加密算法对应的特征值；
[0104]
潜在密钥查找单元303，用于在内存中查找出与所述特征值相匹配的若干个潜在密钥；
[0105]
正确密钥确定单元304，用于根据所述目标文件和所述原始文件，从所述若干个潜在密钥中确定出正确密钥。
[0106]
在本发明一个实施例中，文件获取单元301，具体用于确定未被加密的原始文件；将所述原始文件传输至被勒索软件感染的设备中，所述勒索软件加密所述原始文件，得到所述目标文件。
[0107]
在本发明一个实施例中，文件获取单元301，具体用于将被所述勒索软件加密的所有系统文件中存在备份文件的任一系统文件确定为所述目标文件，将所述目标文件对应的备份文件确定为所述原始文件。
[0108]
在本发明一个实施例中，请参考图4，密钥查找装置还可以包括：
[0109]
目标内存获取单元305，用于对所述勒索软件的进程执行挂起操作；在被勒索软件感染的设备内存中，获取所述勒索软件的进程所对应的目标内存，以触发潜在密钥查找单元303在所述目标内存中执行所述查找出与所述特征值相匹配的若干个潜在密钥。
[0110]
在本发明一个实施例中，目标内存获取单元305在获取所述勒索软件的进程所对应的目标内存时，具体用于基于cmd命令调用内存转储工具，利用所述内存转储工具对所述勒索软件的进程进行内存转储，得到转储后的目标内存。
[0111]
在本发明一个实施例中，正确密钥确定单元304，具体用于利用每一个潜在密钥分别对所述目标文件进行解密，并比对解密后得到的文件与所述原始文件是否相同，将比对结果相同的潜在密钥确定为正确密钥。
[0112]
在本发明一个实施例中，正确密钥确定单元304，还用于判断解密后得到的文件与所述原始文件的大小是否相同；若不同，则将该解密后得到的文件进行截断处理，以使截断处理后的文件大小与所述原始文件的大小相同。
[0113]
可以理解的是，本发明实施例示意的结构并不构成对一种密钥查找装置的具体限定。在本发明的另一些实施例中，一种密钥查找装置可以包括比图示更多或者更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
[0114]
上述装置内的各模块之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。
[0115]
本发明实施例还提供了一种计算设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本发明任一实施例中的一种密钥查找方法。
[0116]
本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序在被处理器执行时，使所述处理器执行本发明任一实施例中的一种密钥查找方法。
[0117]
具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码，且使该系统或者装置的计算机(或cpu或mpu)读出并执行存储在存储介质中的程序代码。
[0118]
在这种情况下，从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能，因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
[0119]
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如cd-rom、cd-r、cd-rw、dvd-rom、dvd-ram、dvd-rw、dvd rw)、磁带、非易失性存储卡和rom。可选择地，可以由通信网络从服务器计算机上下载程序代码。
[0120]
此外，应该清楚的是，不仅可以通过执行计算机所读出的程序代码，而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作，从而实现上述实施例中任意一项实施例的功能。
[0121]
此外，可以理解的是，将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展模块上的cpu等来执行部分和全部实际操作，从而实现上述实施例中任一实施例的功能。
[0122]
本发明各实施例至少具有如下有益效果：
[0123]
1、在本发明一个实施例中，由于被勒索软件感染的设备在被勒索软件感染后并未执行内存清理操作，因此，勒索软件用于加密文件的密钥还存在内存之中，基于勒索软件所采用加密算法的特征值，可以在内存中查找到可能是正确密钥的潜在密钥，然后利用被勒索软件加密的目标文件以及该目标文件被加密前的原始文件，可以基于每一个潜在密钥的解密过程确定出潜在密钥中的正确密钥。可见，本方案在设备被勒索软件感染之后，即可快速查找到用于解密的密钥，用户等待时间较短，从而可以提高用户体验。
[0124]
2、在本发明一个实施例中，通过将外部原始文件传输至被勒索软件感染的设备中，可以准确确定原始文件在被加密之后目标文件的位置，为解密查找正确密钥的过程提供准确的原始文件和目标文件，从而提高查找结果的准确性和查找速度。
[0125]
3、在本发明一个实施例中，由于被加密的系统文件中存在备份文件，那么无需从外部将文件传入被勒索软件感染的设备中，则可以获取到原始文件和目标文件，可以提高目标文件和原始文件的获取速度，且可以避免在将外部文件向被感染的设备进行传输过程中，外部文件的源端设备被间接感染的情况发生，从而保证整个系统的安全性。
[0126]
4、在本发明一个实施例中，通过将所有加密算法分别对应的特征值均确定为勒索软件所采用加密算法的特征值，以针对每一个特征值均可以查找出可能的潜在密钥，该方式确定的潜在密钥更加丰富，且存在正确密钥的概率更大，从而能够提高正确密钥的确定概率。
[0127]
5、在本发明一个实施例中，为了避免解密过程中存在意外写入的数据对比对结果造成的影响，在将目标文件解密之后，可以将解密后得到的文件截断处理为与原始文件相同大小，从而可以保证比对结果的正确性。
[0128]
6、在本发明一个实施例中，由于本方案可以通过系统命令行实现，因此使用的工具均属于轻量化工具，利用这些轻量化工具可以不占用系统内存，从而对正常使用不造成影响。
[0129]
需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
…”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
[0130]
本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质中。
[0131]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。