冷启动攻击可以通过设置 EFI 密码来限制，这样攻击者就无法在重置后的有限时间窗口内访问内存。请注意，如果设置了固件密码，FireWire 设备驱动程序将禁止 DMA 请求，这是另一种非常相似（更可能是 IMO）的攻击。

任何直接内存访问攻击（包括冷启动）都应将密码视为“有风险”的关键位置不在securityd，它做得很好（所有相关代码都是开源的，所以请自己检查），它在客户端应用程序。需要密码的是客户端应用程序，供应商可能没有注意将内存归零（特别是如果密码被放入自动释放或垃圾收集的NSString实例中）。

（我在Professional Cocoa Application Security中写了一整章Keychain security ）

我想这回答了我的问题：Keychaindump

root 用户可以使用它从 RAM 中提取解密的条目。