是否可以通过恶意软件从 ram 内存中远程提取加密密钥，如果可能，执法部门为什么不使用这种方法而不是冷启动攻击？

当然这是可能的。恶意软件需要实现权限提升广告访问加密驱动程序的内存；这两件事都可以变得困难，但绝不是不可能的。

为什么执法部门不使用这种方法（实际上不需要窃取任何密钥：通常当 FDE 解锁时，任何进程都可以访问磁盘，包括恶意软件，所以问题只是如何泄露被盗信息）：谁说他们没有？我住的地方不久前发生了一起丑闻，一家为不同政府工作的软件公司遭到黑客攻击。出于所有意图和目的，他们开发了有针对性的恶意软件。

冷启动攻击和恶意软件并不是相互排斥的——您可以同时使用两者，并采用最适合手头特定情况的任何方法。

从立法的角度来看，我认为冷启动攻击被认为等同于扣押，而恶意软件安装更像是一个灰色地带：它在某种程度上等同于伏击或检查点，但它也需要改变目标系统，这在某些情况下，可能会使收集到的任何证据完全无法使用——相当于强行打开嫌疑人的门锁。是的，执法部门可以随时进入，但理论上其他任何人都可以进入，最终使任何证据都变得可疑。

例如，如果恶意软件允许对目标系统进行远程控制，则应注意确保未知方无法未经授权访问恶意软件，以便植入恶意软件可能随后出现的证据。

最后，恶意软件可能会被检测到甚至被破坏，从执法部门的角度来看，它不太受欢迎。