V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
x1aoYao
V2EX  ›  程序员

请问有没有办法 dump 一个进程(Excel, PPT)的内存到磁盘中,然后再恢复?

  •  
  •   x1aoYao · 2021-05-24 15:20:12 +08:00 · 2742 次点击
    这是一个创建于 1283 天前的主题,其中的信息可能已经有所发展或是发生改变。

    老婆公司的文件在驱动层加密了,拷贝到其他电脑打不开。 但是她公司配的笔记本又重又卡,有什么办法可以绕过去?

    第 1 条附言  ·  2021-05-24 15:59:36 +08:00
    刚发现任务管理器可以创建转储文件得到 EXCEL.DMP
    不过不知道她的电脑是否有权限这么做...
    27 条回复    2021-06-12 23:02:41 +08:00
    Ayanokouji
        1
    Ayanokouji  
       2021-05-24 15:23:42 +08:00
    上传到云?
    shuax
        2
    shuax  
       2021-05-24 15:25:31 +08:00
    你的 dump 也是加密的啊
    x1aoYao
        3
    x1aoYao  
    OP
       2021-05-24 15:32:53 +08:00
    @shuax 内存里的数据肯定是未加密的呀,不然程序正常打开文件。
    之前倒是有个漏洞可以导出成 xlsb 格式,然后这个导出的文件居然是未加密的...
    SilencerL
        4
    SilencerL  
       2021-05-24 15:36:09 +08:00
    ...既然都涉密了要不就别想办法钻洞子了,万一出了点啥事儿谁都不舒服
    x1aoYao
        5
    x1aoYao  
    OP
       2021-05-24 15:42:32 +08:00
    @SilencerL 又不传播,只是为了减少加班时间。而且每天背一个厚重笔记本挤地铁挺累的...
    yousabuk
        6
    yousabuk  
       2021-05-24 15:59:54 +08:00 via iPhone   ❤️ 1
    不出问题时:老板:睁只眼闭只眼,你爱杂弄你咋弄,反正也是为了工作;

    出问题了后:老板:那不行,没有上报,没有经过公司允许,你的操作违反公司规章制度,这个锅得你来,需要负责,巴拉巴拉就出来了。
    tcfenix
        7
    tcfenix  
       2021-05-24 16:03:10 +08:00
    既然是驱动层加密, 说明这个事情上面的定性就是保密的....非常不建议你用笔记本厚重, 加班时间这类原因来让你们家承担这么大的风险

    当然...如果你老婆丢了工作你有很多楼可以养她的话你怎么搞倒是无所谓了......
    SilencerL
        8
    SilencerL  
       2021-05-24 16:13:28 +08:00
    @x1aoYao #5
    怕的就是涉密文件被你 dump 出来之后在自己非涉密环境的电脑上因为种种非个人主观的原因造成外泄,的确是你(们)自己不想传播,但是架不住网络环境和有心人之所为。单位费老鼻子劲在驱动层给加密了,结果就这个外泄了东西,搁谁谁不气(……
    某朋友公司差不多也这样,而且如果检测到你有这些试图 dump 或其他复制涉密资料的动作,直接自动通报安全合规部门,基本就 886 了,如果涉密资料流传到外网被检测到的话安全合规部直接报警根本不打招呼的,总的来说就是信息安全还是很重要的,还是克服一下客观问题遵守相关规章制度 8.
    AoEiuV020
        9
    AoEiuV020  
       2021-05-24 16:25:47 +08:00
    我公司也有透明加密,不过只针对代码,不针对文档,
    绕过容易,但技术不解决法律问题,
    janxin
        10
    janxin  
       2021-05-24 16:35:03 +08:00 via iPhone
    只要做好发现最轻被辞退最重赔钱坐牢的思想准备之后,技术上当然是可以 dump 的啦
    iBugOne
        11
    iBugOne  
       2021-05-24 16:40:33 +08:00   ❤️ 2
    @yousabuk 实际上那些违反公司规定的人啊,他也是有一本帐的,这个帐是记在那儿的,一旦他出事了,这个帐全给你拉出来了。别看今天闹得欢,小心将来拉清单,这都得应验的。不要干这种事情,头上三尺有监控,一定要有敬畏之心。
    yushiro
        12
    yushiro  
       2021-05-24 16:40:56 +08:00 via iPhone
    你老婆国企还是外企?电脑上处理的任何文件都不需要与其他人交流的吗?
    只要是可以发送 email 的,都不可能加密发出去,否则没人能打开,发送的意义何在?
    msg7086
        13
    msg7086  
       2021-05-24 23:33:21 +08:00 via Android
    在被开除和起诉的边缘疯狂试探……
    billccn
        14
    billccn  
       2021-05-25 02:33:06 +08:00
    2 楼的意思是你 dump 出来的文件也是要被驱动层加密的,你拷贝到其他电脑上还是打不开。想不背电脑就叫正式和公司请求开远程或者企业级的云协作?没有这个选项就只能背了。
    bthulu
        15
    bthulu  
       2021-05-25 08:46:55 +08:00
    自己买个 macbook 啊, 然后让公司把 macbook 再加密一次不就好了
    SmiteChow
        16
    SmiteChow  
       2021-05-25 09:57:21 +08:00
    不提泄密的事情 但你 dump 出来的内存最终还是要落地 不也是加密的么?
    zhutijiang
        17
    zhutijiang  
       2021-05-25 10:01:51 +08:00
    你们这个思路都错了呀。。。。既然是磁盘驱动自动加解密,你就算 dump 出来,存到磁盘里的过程又被自动加密了,所以要想传出来明文,就不能经过磁盘这个步骤。由于读到内存时自动解密,所以直接通过联网,用邮件附件发送之类的就好了呀。
    cnxobo
        18
    cnxobo  
       2021-05-25 10:03:41 +08:00
    不要觉得这个是技术问题,这是一条红线。
    zhutijiang
        19
    zhutijiang  
       2021-05-25 10:04:34 +08:00
    而且就算按照你的思路,那也不是内存 dump,你只要用最原始的读取文件的方式,比如 open/read 把你需要的任何文件原封不动读进内存,那么在此过程中,驱动会给你自动解密,之后怎么做就随你便了,为啥非要局限于用 word/excel 打开,然后 dump 内存呢??
    ch2
        20
    ch2  
       2021-05-25 10:39:25 +08:00
    不要挑战人定的规则
    mudssky
        21
    mudssky  
       2021-05-25 10:52:12 +08:00
    1.想办法破解加密算法
    2.自己带一台电脑
    3.请求公司换高配电脑
    namaketa
        22
    namaketa  
       2021-05-25 16:24:23 +08:00
    如果重要部门的文件不允许外泄一般不会只用文件加密这一种手段,我司都是直接带 agent 监视的。
    x1aoYao
        23
    x1aoYao  
    OP
       2021-05-25 17:52:26 +08:00
    @yushiro 直接发文件没用,Office 自带的发送是内部账户,不能发送给外部账号的,内部账户只能在特定电脑登录...
    @billccn @SmiteChow @zhutijiang 并非是加密所有文件,否则直接解压了。只有似乎 Office 打开才解密,所以我才怀疑能 dump 成文件而不被加密。不过转储文件实在是太大了,用起来还麻烦

    @bthulu 我真的就是这么建议的,买台轻薄本,老婆没同意... 因为我才装了一台式机,不想再花钱,也不想背吧,我说服不了

    突然启发我一个思路:他们笔记本似乎没有用 bitLocker, 直接拷贝整个磁盘到家里的电脑做双系统,这样就可以了?不过大概驱动不兼容...
    yushiro
        24
    yushiro  
       2021-05-25 19:36:13 +08:00 via iPhone
    @x1aoYao 既然加密措施那么严格,就不要碰底线了。要么让公司升级工作电脑,要么就磨洋工摸鱼慢慢做。
    没必要拿着白菜钱,操着白粉心。
    zhutijiang
        25
    zhutijiang  
       2021-05-26 10:55:35 +08:00
    @x1aoYao 只有 office 才自动解密,我猜测很有可能只是简单的匹配了下进程路径和进程名,你可以自己写个程序放到 office 程序路径下改个名,应该就能骗过了
    lirunext
        26
    lirunext  
       2021-05-26 23:39:59 +08:00   ❤️ 1
    如楼上 v 友所说,这事确实不仅仅是技术问题,但上面有些 v 友说的太夸张了,还是要具体问题具体分析。如果是正规大公司,管的严,有正经的关于保密方面的制度和流程,你老婆又是年薪数十万的高管,掌握重要的机密,还是不要私自搞了。但是如果就一两百人、年收入不到一个小目标,又压榨人下班时间的小破公司,有个屁重要资料,说句不好听的,资料和代码放网上都没人下载,直接搞起怕个锤子。
    前几年也进过这种傻 X 公司,对待员工抠门的话就不多说了,代码和资料根本一文不值还当宝一样搞加密,加密软件又沙雕,支持的软件又少,剪切板复制粘贴都限制,工作起来麻烦的很,太降低工作效率了。
    回到正题,提供 2 个思路,楼主可以研究下,本人非程序员,描述不是很专业,理解意思就行。
    1 、试试有没有“另存为”漏洞。我的理解是,这种所谓的透明加密软件,保存在硬盘上的文件是经过加密的,双击打开文件时会把文件解密后给 word 使用,word 保存时拦截未加密的文件并加密到硬盘。可以在保存这里做文章,试下“另存为”,存储在一些“非标准”的路径,比如没有盘符的分区、FTP 服务器等不是 C:\Users\这种普通路径的地方,加密软件如果没有考虑或者兼容到这些非标准的路径,没有做拦截和加密,那么 word 另存为后就是非加密的。我试过某个加密软件,就没做 FTP 的处理,另存为的时候选择保存到 FTP 服务器就轻松绕过加密了。但是要注意这种加密软件或者这台已安装的其他管理软件有没有监控 USB 复制或者邮件发送记录的功能,不然你解密成功了,复制到 U 盘或者发邮件的时候却被监控给抓了。
    2 、对楼主拷贝磁盘的思路的补充,可以 Ghost 或其它工具把那台电脑的硬盘做成镜像,在楼主家电脑还原,至于楼主提到驱动不兼容问题,这个可以去搜索了解下 sysprep 、SkyIAR 这两个东西,应对换硬件不用重装系统的问题。要注意的是,1,不管怎么样,操作前先整个硬盘用 Ghost 、Acronis Ture Image 之类工具备份一下,免得把公司电脑系统玩坏了弄不回去。2,注意检查这加密软件有没有服务端的设计,还只是单机版。如果这玩意会上传本机信息到公司管理服务端,管理端能看到你这台新的设备不是公司的,那也就凉了。这种情况就要严格控制新电脑的网络了。
    lirunext
        27
    lirunext  
       2021-06-12 23:02:41 +08:00
    楼主有后续吗,分享一下
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3214 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 13:09 · PVG 21:09 · LAX 05:09 · JFK 08:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.