¿Cómo responder a la corrupción de la Billetera encriptación debido a un falso positivo del software antivirus?
En el entorno actual de Internet, las amenazas de seguridad son cada vez más frecuentes. Instalar software antivirus puede ayudar a los usuarios a mejorar la seguridad del sistema. Sin embargo, el software antivirus solo puede reducir los riesgos, y no garantiza una seguridad absoluta. La lucha es un proceso dinámico, y la instalación del software antivirus es solo el primer paso para mejorar la seguridad. Al mismo tiempo, el software antivirus también puede presentar falsos positivos, lo que conlleva riesgos adicionales.
Recientemente, algunos usuarios han informado que, después de usar software antivirus, ciertas extensiones de navegador (especialmente las extensiones de Billetera de encriptación) fueron falsamente detectadas como malware, lo que llevó a que los archivos JavaScript de las extensiones fueran aislados o eliminados, dañando finalmente la Billetera y haciendo que no se pueda usar correctamente.
Para los usuarios de Web3, esta situación es especialmente grave, ya que las extensiones de billetera encriptación suelen almacenar claves privadas, y si no se manejan adecuadamente, pueden dar lugar a la pérdida de datos de la billetera e incluso a la imposibilidad de recuperar activos. Por lo tanto, es crucial entender cómo recuperar correctamente los datos de extensión que han sido aislados por error.
¿Cómo manejarlo?
Si se encuentra que un falso positivo del software antivirus ha causado daños en la extensión del navegador, se recomienda seguir los siguientes pasos para la recuperación:
1. Recuperar archivos de la zona aislada, no desinstale la extensión
Si encuentras que algún software o extensión no puede ejecutarse, verifica primero la "Billetera" de tu antivirus (Quarantine) o "historial" (History), buscando archivos marcados erróneamente, y no elimines los archivos en cuarentena.
Si el archivo aún está en la zona de aislamiento, selecciona "Restaurar"(Restore) y añade el archivo o la extensión a la lista de confianza para evitar falsos positivos nuevamente.
Si el archivo ha sido eliminado, verifique si hay copias de seguridad automáticas o utilice herramientas de recuperación de datos para recuperarlo.
Recuerda: ¡no desinstales la extensión! Incluso si la extensión está dañada, es posible que aún existan archivos relacionados con la encriptación de claves privadas en tu dispositivo, por lo que todavía hay posibilidades de recuperación.
2. Hacer una copia de seguridad y buscar datos de extensión locales
Los datos extendidos generalmente se almacenan en el disco local, incluso si la extensión no se puede abrir, aún se pueden encontrar datos relevantes para la recuperación (ID de la extensión tomando MetaMask como ejemplo: nkbihfbeogaeaoehlefnkodbefgpgknn):
Referencia de ruta de Windows: C:\Users\USER_NAME\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn
Referencia de ruta de Mac: ~/Library/Application Support/Google/Chrome/Default/Local Extension Settings/nkbihfbeogaeaoehlefnkodbefgpgknn
Es importante tener en cuenta que, si Chrome utiliza múltiples configuraciones de cuenta, la ruta puede cambiar de Default a Profile 1/Profile 2, por lo que es necesario verificar el directorio específico del Profile y ajustar la ruta según la situación real. Se recomienda hacer una copia de seguridad del directorio completo de la extensión objetivo lo antes posible, para poder restaurarlo en caso de que surjan problemas.
3. Método de recuperación brusca: sobrescribir el directorio de extensión local
Si un falso positivo causa daños en la extensión, la forma más directa es en una nueva computadora o en un nuevo entorno de navegador, sobrescribir directamente los datos de la extensión respaldados en el directorio de extensión correspondiente a la ruta local y luego volver a abrir el programa de extensión.
4. Método de recuperación avanzado: des encriptar manualmente los datos de la clave privada
Si la extensión aún no se abre o falta información, puedes intentar un método de recuperación más avanzado, es decir, desencriptar manualmente los datos de la clave privada para recuperarla. Tomando como ejemplo MetaMask:
Busca en el ordenador local el ID de la extensión de MetaMask, encuentra el siguiente directorio: C:\Users[User]\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn
Este directorio puede contener archivos ldb/log, que almacenan datos de claves privadas encriptadas. Se puede utilizar la herramienta de descifrado Vault oficial de MetaMask para descifrarlas.
copiar el contenido encriptado del archivo ldb/log
Si la extensión de MetaMask aún puede abrir ciertas páginas (como chrome-extension://nkbihfbeogaeaoehlefnkodbefgpgknn/home.html), puedes intentar ejecutar el siguiente código para obtener los datos de la encriptación de la clave privada:
Luego, copia los datos del vault a la herramienta de desencriptación de MetaMask Vault para desencriptar.
5. Escribir herramientas de recuperación personalizadas
Si los métodos anteriores no pueden recuperar los datos de la Billetera, el usuario puede escribir un script por sí mismo para extraer los datos de almacenamiento extendido del archivo de base de datos local y luego proceder a la encriptación. A continuación, se presenta el principio y la implementación de diferentes herramientas de recuperación de Billetera utilizando PhantomKeyRetriever como plantilla:
Las extensiones de billetera suelen almacenar datos sensibles en la base de datos o archivos del sistema local. Las billeteras de extensión del navegador (como Phantom, MetaMask, etc.) utilizan la API de almacenamiento proporcionada por el navegador para guardar datos encriptados en el área de almacenamiento local del navegador, generalmente en sistemas de bases de datos como LevelDB o IndexedDB. Independientemente del tipo de billetera, un principio clave es que los datos se almacenan siempre en forma encriptada, asegurando que incluso si los datos son copiados, no se pueden acceder sin la contraseña correcta.
La mayoría de las billeteras encriptadas utilizan una arquitectura de encriptación en múltiples capas para mejorar la seguridad. Primero, la contraseña principal del usuario se utiliza para encriptar una clave intermedia (comúnmente conocida como "clave encriptada" o "clave de desencriptación"). Luego, esta clave intermedia se utiliza para encriptar la clave privada real o la frase mnemotécnica. Este diseño asegura que incluso si el código de la aplicación de la billetera es alterado, los atacantes necesitarían conocer la contraseña del usuario para obtener la clave privada. Este diseño en múltiples capas también permite que la aplicación de la billetera desencripte solo la clave intermedia después de que el usuario inicie sesión, sin necesidad de ingresar la contraseña principal en cada operación.
El proceso para escribir una herramienta de recuperación de Billetera generalmente incluye:
Localizar y extraer datos de encriptación (leer datos de LevelDB/IndexedDB).
Analizar la estructura de datos, identificar las claves privadas/ frases de recuperación encriptadas.
Se requiere que el usuario ingrese la contraseña de la Billetera, y se calcula la clave de desencriptación a través de KDF (como PBKDF2 o Scrypt).
Desencriptar la clave intermedia, luego desencriptar la clave privada/frase de recuperación.
Este proceso requiere un entendimiento preciso del esquema de encriptación de la billetera y del formato de almacenamiento de datos, lo que generalmente se obtiene a través de ingeniería inversa o analizando el código fuente de la billetera.
En cuanto a la herramienta PhantomKeyRetriever, es un script diseñado específicamente para extraer la frase de recuperación o la clave privada de la billetera Phantom a partir de los datos del navegador Chrome, cuyo principio básico es el siguiente:
Leer la base de datos LevelDB de Chrome y copiar los datos relevantes a un directorio temporal.
Recorrer la base de datos para buscar las claves de encriptación y la información de la semilla de la Billetera Phantom.
El usuario ingresa la contraseña de Phantom, el script utiliza PBKDF2/Scrypt para calcular la clave de descifrado.
Desencriptar los datos del vault de la billetera, extraer la frase de recuperación BIP39 o la clave privada Base58.
En este proceso de doble encriptación, el script admite dos funciones de derivación de clave: PBKDF2 y Scrypt, y utiliza la biblioteca NaCl's SecretBox para la desencriptación segura. Al final, según el tipo de datos desencriptados, el script generará una frase mnemotécnica estándar BIP39 o extraerá una clave privada codificada en Base58.
Es importante tener en cuenta que otros navegadores que soportan billeteras extensibles (como Edge, Firefox) también funcionan con un principio similar, por lo que no se profundizará más en este aspecto.
¿Cómo prevenir?
Para reducir el riesgo de falsos positivos, los usuarios pueden tomar las siguientes medidas:
Realiza copias de seguridad periódicas de archivos importantes y datos de extensiones del navegador, para que puedas restaurarlos rápidamente en caso de un falso positivo.
Agregar manualmente reglas de confianza en el software antivirus, para software o extensiones importantes (como MetaMask), se puede agregar manualmente a la lista de confianza para evitar falsos positivos.
Utilice canales oficiales para descargar el software, evitando instalar aplicaciones no oficiales o modificadas, para reducir la posibilidad de ser marcado como un riesgo potencial por el software antivirus.
Resumen
La lucha contra las amenazas es siempre dinámica y las estrategias de seguridad también necesitan ajustes constantes. Instalar software antivirus es, sin duda, importante, pero al final, el usuario es la última línea de defensa de sus propios activos. En caso de falsos positivos, el usuario debe manejar la situación con calma, evitando eliminar directamente archivos clave y utilizando métodos de recuperación adecuados. Solo al dominar el conocimiento adecuado sobre seguridad se puede garantizar verdaderamente la seguridad de los datos.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
18 me gusta
Recompensa
18
9
Compartir
Comentar
0/400
AirdropSkeptic
· 07-14 11:50
novato必备perspectivas valiosas
Ver originalesResponder0
BridgeTrustFund
· 07-13 18:41
Primero hacer una copia de seguridad y luego eliminar virus es confiable
Ver originalesResponder0
PaperHandSister
· 07-13 04:47
Ten cuidado con el uso de la Llave privada, debes manejarla bien.
Ver originalesResponder0
ContractCollector
· 07-11 19:40
La copia de seguridad es lo más importante.
Ver originalesResponder0
LowCapGemHunter
· 07-11 15:09
¿No sería suficiente con crear una lista de permitidos?
Ver originalesResponder0
MetaverseLandlady
· 07-11 14:57
Hacer una copia de seguridad de la llave privada es lo más importante
Ver originalesResponder0
LiquidationWatcher
· 07-11 14:57
Sugerencia de agregar a la Lista de permitidos
Ver originalesResponder0
OfflineValidator
· 07-11 14:57
Ya he estado prestando atención a las copias de seguridad.
Ver originalesResponder0
GmGmNoGn
· 07-11 14:54
La copia de seguridad es lo más importante, hermano.
Estrategias para abordar el daño del Billetera de encriptación causado por falsos positivos de software antivirus.
¿Cómo responder a la corrupción de la Billetera encriptación debido a un falso positivo del software antivirus?
En el entorno actual de Internet, las amenazas de seguridad son cada vez más frecuentes. Instalar software antivirus puede ayudar a los usuarios a mejorar la seguridad del sistema. Sin embargo, el software antivirus solo puede reducir los riesgos, y no garantiza una seguridad absoluta. La lucha es un proceso dinámico, y la instalación del software antivirus es solo el primer paso para mejorar la seguridad. Al mismo tiempo, el software antivirus también puede presentar falsos positivos, lo que conlleva riesgos adicionales.
Recientemente, algunos usuarios han informado que, después de usar software antivirus, ciertas extensiones de navegador (especialmente las extensiones de Billetera de encriptación) fueron falsamente detectadas como malware, lo que llevó a que los archivos JavaScript de las extensiones fueran aislados o eliminados, dañando finalmente la Billetera y haciendo que no se pueda usar correctamente.
Para los usuarios de Web3, esta situación es especialmente grave, ya que las extensiones de billetera encriptación suelen almacenar claves privadas, y si no se manejan adecuadamente, pueden dar lugar a la pérdida de datos de la billetera e incluso a la imposibilidad de recuperar activos. Por lo tanto, es crucial entender cómo recuperar correctamente los datos de extensión que han sido aislados por error.
¿Cómo manejarlo?
Si se encuentra que un falso positivo del software antivirus ha causado daños en la extensión del navegador, se recomienda seguir los siguientes pasos para la recuperación:
1. Recuperar archivos de la zona aislada, no desinstale la extensión
Si encuentras que algún software o extensión no puede ejecutarse, verifica primero la "Billetera" de tu antivirus (Quarantine) o "historial" (History), buscando archivos marcados erróneamente, y no elimines los archivos en cuarentena.
2. Hacer una copia de seguridad y buscar datos de extensión locales
Los datos extendidos generalmente se almacenan en el disco local, incluso si la extensión no se puede abrir, aún se pueden encontrar datos relevantes para la recuperación (ID de la extensión tomando MetaMask como ejemplo: nkbihfbeogaeaoehlefnkodbefgpgknn):
Es importante tener en cuenta que, si Chrome utiliza múltiples configuraciones de cuenta, la ruta puede cambiar de Default a Profile 1/Profile 2, por lo que es necesario verificar el directorio específico del Profile y ajustar la ruta según la situación real. Se recomienda hacer una copia de seguridad del directorio completo de la extensión objetivo lo antes posible, para poder restaurarlo en caso de que surjan problemas.
3. Método de recuperación brusca: sobrescribir el directorio de extensión local
Si un falso positivo causa daños en la extensión, la forma más directa es en una nueva computadora o en un nuevo entorno de navegador, sobrescribir directamente los datos de la extensión respaldados en el directorio de extensión correspondiente a la ruta local y luego volver a abrir el programa de extensión.
4. Método de recuperación avanzado: des encriptar manualmente los datos de la clave privada
Si la extensión aún no se abre o falta información, puedes intentar un método de recuperación más avanzado, es decir, desencriptar manualmente los datos de la clave privada para recuperarla. Tomando como ejemplo MetaMask:
Si la extensión de MetaMask aún puede abrir ciertas páginas (como chrome-extension://nkbihfbeogaeaoehlefnkodbefgpgknn/home.html), puedes intentar ejecutar el siguiente código para obtener los datos de la encriptación de la clave privada:
javascript chrome.storage.local.get('dato', resultado => { var vault = result.data.KeyringController.vault; console.log(bóveda); });
Luego, copia los datos del vault a la herramienta de desencriptación de MetaMask Vault para desencriptar.
5. Escribir herramientas de recuperación personalizadas
Si los métodos anteriores no pueden recuperar los datos de la Billetera, el usuario puede escribir un script por sí mismo para extraer los datos de almacenamiento extendido del archivo de base de datos local y luego proceder a la encriptación. A continuación, se presenta el principio y la implementación de diferentes herramientas de recuperación de Billetera utilizando PhantomKeyRetriever como plantilla:
Las extensiones de billetera suelen almacenar datos sensibles en la base de datos o archivos del sistema local. Las billeteras de extensión del navegador (como Phantom, MetaMask, etc.) utilizan la API de almacenamiento proporcionada por el navegador para guardar datos encriptados en el área de almacenamiento local del navegador, generalmente en sistemas de bases de datos como LevelDB o IndexedDB. Independientemente del tipo de billetera, un principio clave es que los datos se almacenan siempre en forma encriptada, asegurando que incluso si los datos son copiados, no se pueden acceder sin la contraseña correcta.
La mayoría de las billeteras encriptadas utilizan una arquitectura de encriptación en múltiples capas para mejorar la seguridad. Primero, la contraseña principal del usuario se utiliza para encriptar una clave intermedia (comúnmente conocida como "clave encriptada" o "clave de desencriptación"). Luego, esta clave intermedia se utiliza para encriptar la clave privada real o la frase mnemotécnica. Este diseño asegura que incluso si el código de la aplicación de la billetera es alterado, los atacantes necesitarían conocer la contraseña del usuario para obtener la clave privada. Este diseño en múltiples capas también permite que la aplicación de la billetera desencripte solo la clave intermedia después de que el usuario inicie sesión, sin necesidad de ingresar la contraseña principal en cada operación.
El proceso para escribir una herramienta de recuperación de Billetera generalmente incluye:
Este proceso requiere un entendimiento preciso del esquema de encriptación de la billetera y del formato de almacenamiento de datos, lo que generalmente se obtiene a través de ingeniería inversa o analizando el código fuente de la billetera.
En cuanto a la herramienta PhantomKeyRetriever, es un script diseñado específicamente para extraer la frase de recuperación o la clave privada de la billetera Phantom a partir de los datos del navegador Chrome, cuyo principio básico es el siguiente:
En este proceso de doble encriptación, el script admite dos funciones de derivación de clave: PBKDF2 y Scrypt, y utiliza la biblioteca NaCl's SecretBox para la desencriptación segura. Al final, según el tipo de datos desencriptados, el script generará una frase mnemotécnica estándar BIP39 o extraerá una clave privada codificada en Base58.
Es importante tener en cuenta que otros navegadores que soportan billeteras extensibles (como Edge, Firefox) también funcionan con un principio similar, por lo que no se profundizará más en este aspecto.
¿Cómo prevenir?
Para reducir el riesgo de falsos positivos, los usuarios pueden tomar las siguientes medidas:
Resumen
La lucha contra las amenazas es siempre dinámica y las estrategias de seguridad también necesitan ajustes constantes. Instalar software antivirus es, sin duda, importante, pero al final, el usuario es la última línea de defensa de sus propios activos. En caso de falsos positivos, el usuario debe manejar la situación con calma, evitando eliminar directamente archivos clave y utilizando métodos de recuperación adecuados. Solo al dominar el conocimiento adecuado sobre seguridad se puede garantizar verdaderamente la seguridad de los datos.