是的。大多数私钥具有易于识别的格式。

如果说使用 openssl 生成的 RSA 私钥，它们具有特定的格式，例如，将始终以相同的三个字节开头，具体取决于密钥大小：

30 82 01 (for 768 bit key or MIIB in base64)
30 82 02 (for 1024 bit key or MIIC in base64),
30 82 04 (for 2048 bit key or MIIE in base64),  
30 82 09 (for 4096 bit key or MIIJ in base64).

还有一些其他类型的格式也可以存储私钥。

您可以使用 openssl 使用以下命令自行测试：openssl genrsa 1024（1024 表示 1024 位密钥，以查看其 base64 表示形式的密钥。）

有关格式的更多文档，请参阅此 StackOverflow 答案：我在哪里可以找到有关 RSA 公钥格式的一些文档？

作为 jimbob 博士回答的附录：
有一些实用程序可以寻找这些模式并尝试以这种方式提取密钥。

免责声明：我没有尝试过任何这些实用程序。这篇文章只是用户“void-star”在 HN 上发布的链接的一个更好的版本。（见下文。）

• 关于总体思路的白皮书：
  • Adi Shamir 和 Nicko van Someren，1998-09-22，用存储的钥匙玩捉迷藏
  • Tobias Klein，2006，SslKeyFinder
• 实现：
  • 寻找模式的 Yara 规则集：
    https ://github.com/SpiderLabs/yara-ruby/blob/master/samples/sslkeyfinder
  • 同样是 Yara 规则，但这次嵌入在 Python 中，可用作“Volatility”工具包的“dumpcerts”插件：dumpcerts.py. （根据 Kali 包描述，“波动性”似乎是从 RAM 转储中提取各种有效负载的通用框架。）

进一步阅读

• Hacker News 上的主题：2014，从内存中窃取未加密的 SSH 代理密钥
  • 尤其是用户“void-star”的回答

作为 StackzOfZtuff 和 jimbob 博士的答案的（另一个）附录

阿迪沙米尔等人。论文 使用存储的密钥玩捉迷藏与寻找标题采用了非常不同的方法

Shamir 方法依赖于比较完整内存字符串中的数据块（即，将内存/磁盘的全部内容转储为字符串）并查看它们在数学上是否与先前已知的公钥相关。

为了找到不存在先前已知公钥的密钥，进行了检查以检查数据的熵。

由于我们知道关键数据比非关键数据的熵更大，因此定位关键数据的一种方法是将数据分成小部分，测量每个部分的熵并显示熵特别高的位置

因为密钥是有意随机的，所以这些数据在非随机数据的背景下显得尤为突出。这种攻击的优点是可以定位任何加密密钥。

除了 RSA 方案之外，我们的技术似乎适用于各种其他公钥方案。

正如 jimbob 博士指出的那样，Tobias Klein 采取了寻找头球的方法

下面显示了此 ASN.1 语法的十六进制表示：
30 82 ?? ?? - 序列 (30 82)，序列的长度 (?? ??)
30 82 ?? ?? - 序列 (30 82), 序列的长度 (?? ??)

由于所有证书都应以这种语法表示，因此我们有一个要搜索的模式。

使用全盘加密，您将不再能够在磁盘上搜索随机数据，因为一切都是随机的。您也将无法再搜索标头，因为它们将被加密。

但是，一旦机器启动，就可以通过这些技术中的任何一种直接从内存中读取密钥。这对于虚拟机来说更容易（请参阅我的答案）