冷启动攻击

冷启动攻击利用 DRAM 的数据残留特性:断电后内容在数秒到数分钟内仍可保留,使用压缩空气或液氮降温可进一步延长。具备物理访问条件的攻击者可对机器进行重启,从 USB 启动小型工具,转储残留内存以提取磁盘加密密钥(BitLocker、FileVault、LUKS)、密码及会话令牌。普林斯顿 Halderman 等人 2008 年的论文以及 F-Secure 2018 年针对现代固件锁的更新都表明该技术依然实用。防御措施包括内存加密(Intel TME、AMD SME)、启动前内存清零、要求 TPM+PIN 来解锁磁盘、在固件中禁止 USB 启动以及对高价值设备实施物理安全保护。