Suponiendo un sistema cifrado de disco completo donde el almacenamiento no volátil está cifrado.
Mientras el sistema se está ejecutando, en caso de un fallo y volcado de memoria, por ejemplo. al conectar una unidad USB que causa un error IRQL_NOT_LESS_OR_EQUAL, ¿cuáles son los riesgos de que las claves de cifrado estén contenidas en ese archivo de volcado de memoria?
Como una variación, asuma un entorno en el que tenga un contenedor encriptado abierto y el sistema se bloquee en ese momento.
En cualquier escenario donde haya algo cifrado en el disco pero descifrado sobre la marcha mientras el sistema se está ejecutando, y se produce un bloqueo del sistema, ¿existe el riesgo de que los volcados de memoria contengan claves de cifrado o algo que los lleve?
Caso local :
El escenario anterior me acaba de ocurrir y he realizado un análisis local.
Abrí% SystemRoot% \ MEMORY.DMP con un editor hexadecimal, y busqué contraseñas o frases de contraseña pero no las encontré. Sin embargo, ¿es posible que todavía estén contenidos en otra forma o que haya algo que los lleve a descubrirlos?