是否仍然可以依靠 TrueCrypt 等加密技术来提供高度保护？

是的，只要您确切了解您从 Truecrypt 获得的保护。

加密不是访问控制，它不会在系统开机时保护您的系统。一旦您将密钥材料放在计算机附近的任何位置（例如将其输入、将其加载到内存中），您应该将计算机视为包含密钥材料，因为它确实包含密钥材料。

因此，任何可以提取计算机 RAM 的东西都可以读取此密钥材料。无论如何，这都不应该令人惊讶。我已经以相当广泛的方式查看了 truecrypt 驱动程序代码（我不赞成他们使用的静态分配的堆栈缓冲区，他们应该更喜欢ExAllocatePoolWithTag，但我知道什么？）并且编写一个驱动程序在运行 truecrypt 的系统上将音量键从内存中拉出。

如果你想让你的磁盘加密有效，你必须做两件事：

1. 当您希望阻止某人访问您的数据时，请确保您不会将密钥材料附加到系统中。
2. 数据被盗时关闭系统。

对付一个随意的、机会主义的小偷，第 1 点默认情况下发生，因为当您使用设备时，有问题的小偷几乎从不存在。例如，这使得磁盘加密成为防止笔记本电脑被盗的一个很好的防御手段，因为偷窃断电笔记本电脑的机会主义小偷得到了一些硬件，但没有得到一些数据。

然而，坚定的攻击者，或者网络文献所指的高级持续威胁，可能有资源可以观察 1。这可以通过多种方式：

1. 窃听您输入密钥材料的位置，包括硬件键盘记录器、相机等。
2. 利用好旧的删除RAM，冻结它以及任何技术在断电后保留系统内存。
3. 在系统开机时破坏您的系统 - 火线、恶意软件等。

只要磁盘加密一直在使用，情况就一直如此，只要磁盘加密以其当前形式使用，情况就会如此。加密并不能保护您免受这些威胁 - 对于这些威胁，您需要良好的访问控制、良好的审计程序、良好的安全实践以防止恶意软件访问、良好的物理安全等。

轻微更新，带来更多乐趣：

休眠是现代操作系统中已知的攻击媒介，根据您的实施，它会完全堵塞安全启动。在这方面所做的工作源于这样一个事实，即可以通过更改页面文件来加载代码来绕过 Patchguard。

这两种情况的故事的座右铭是操作系统不能信任它从磁盘加载的状态，除非它控制了 CPU。

休眠如何影响您的内存密钥？这取决于休眠文件是否存在于加密驱动器上。如果确实如此，那很好——您需要重新输入密钥才能解密（您也将阻止休眠文件攻击向量）。如果没有，那么如果密钥被写入休眠文件，你就有麻烦了。如果不是，您仍然不是非常安全，因为拥有大量资源的足够坚定的攻击者可能会利用这一点。