密钥查找方法、装置、计算设备及存储介质与流程

技术特征：
1.一种密钥查找方法，其特征在于，包括：当确定被勒索软件感染的设备满足设定条件时，获取被所述勒索软件加密的目标文件和所述目标文件被加密前的原始文件；所述设定条件包括所述勒索软件感染设备之后未结束进程；确定所述勒索软件所采用加密算法对应的特征值；在内存中查找出与所述特征值相匹配的若干个潜在密钥；根据所述目标文件和所述原始文件，从所述若干个潜在密钥中确定出正确密钥。2.根据权利要求1所述的方法，其特征在于，所述获取被所述勒索软件加密的目标文件和所述目标文件被加密前的原始文件，包括：确定未被加密的原始文件；将所述原始文件传输至被勒索软件感染的设备中，使所述勒索软件加密所述原始文件，得到所述目标文件。3.根据权利要求1所述的方法，其特征在于，所述获取被所述勒索软件加密的目标文件和所述目标文件被加密前的原始文件，包括：将被所述勒索软件加密的所有系统文件中存在备份文件的任一系统文件确定为所述目标文件，将所述目标文件对应的备份文件确定为所述原始文件。4.根据权利要求1所述的方法，其特征在于，在所述在内存中查找出与所述特征值相匹配的若干个潜在密钥之前，还包括：对所述勒索软件的进程执行挂起操作；在被勒索软件感染的设备内存中，获取所述勒索软件的进程所对应的目标内存，在所述目标内存中执行所述查找出与所述特征值相匹配的若干个潜在密钥。5.根据权利要求4所述的方法，其特征在于，所述获取所述勒索软件的进程所对应的目标内存，包括：基于cmd命令调用内存转储工具，利用所述内存转储工具对所述勒索软件的进程进行内存转储，得到转储后的目标内存。6.根据权利要求1-5中任一所述的方法，其特征在于，所述根据所述目标文件和所述原始文件，从所述若干个潜在密钥中确定出正确密钥，包括：利用每一个潜在密钥分别对所述目标文件进行解密，并比对解密后得到的文件与所述原始文件是否相同，将比对结果相同的潜在密钥确定为正确密钥。7.根据权利要求6所述的方法，其特征在于，在比对解密后得到的文件与所述原始文件是否相同之前，还包括：判断解密后得到的文件与所述原始文件的大小是否相同；若不同，则将该解密后得到的文件进行截断处理，以使截断处理后的文件大小与所述原始文件的大小相同。8.一种密钥查找装置，其特征在于，包括：文件获取单元，用于当确定被勒索软件感染的设备满足设定条件时，获取被所述勒索软件加密的目标文件和所述目标文件被加密前的原始文件；所述设定条件包括所述勒索软件感染设备之后未结束进程；特征值确定单元，用于确定所述勒索软件所采用加密算法对应的特征值；
潜在密钥查找单元，用于在内存中查找出与所述特征值相匹配的若干个潜在密钥；正确密钥确定单元，用于根据所述目标文件和所述原始文件，从所述若干个潜在密钥中确定出正确密钥。9.一种计算设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现如权利要求1-7中任一项所述的方法。10.一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行权利要求1-7中任一项所述的方法。

技术总结
本发明提供了一种密钥查找方法、装置、计算设备及存储介质，其中方法包括：当确定被勒索软件感染的设备满足设定条件时，获取被所述勒索软件加密的目标文件和所述目标文件被加密前的原始文件；所述设定条件包括所述勒索软件感染设备之后未结束进程；确定所述勒索软件所采用加密算法对应的特征值；在内存中查找出与所述特征值相匹配的若干个潜在密钥；根据所述目标文件和所述原始文件，从所述若干个潜在密钥中确定出正确密钥。本方案，能够快速查找到密钥，提高用户体验。提高用户体验。提高用户体验。


技术研发人员：郭洪亮 张慧云
受保护的技术使用者：安天科技集团股份有限公司
技术研发日：2021.11.17
技术公布日：2022/2/24