四、基于PXE方式的冷启动内存映像攻击

　　至于通过PXE方式获取目标计算机的内存信息映像，在已经配置好PXE服务器前提下，还要求目标计算机的网卡支持PXE方式远程启动。

　　另外，还必需在PXE服务器上运行TFTP服务，并将下载回来的PXE内存映像压缩包中PXE目录下的二进制文件，复制到PXE服务器的TFTP目录，并修改其中的pxelinux配置，使它指向该文件。

　　然后，需要一个人去关闭目标计算机的电源，并以最快的速度在控制计算机通过PXE方式远程启动目标计算机。当目标计算机获取一个DHCP地址并从网络启动时，就会显示一个状态消息。

　　此时，由于PXE方式不同于USB磁盘方式，内存映像工具不会自动执行，就需要在pxedump目录下执行如下的命令：

　　./pxedump 目录主机的IP地址 > memimage.img

　　从上面可以看出，使用基于PXE方式去进行内存映像攻击是很难一个人去实现，也就不太可能被攻击者经常使用了。因此，最需要我们关注的是基于USB磁盘方式的内存映像攻击。

　　六、应对之策

　　当攻击者可以直接接触目标计算机时，使用冷启动方式的内存映像攻击是非常有效的，尤其是针对笔记本电脑时。

　　但是，这种攻击方式仍然有许多限制的。首先，被攻击的目标计算机在攻击前必需是运行的，或处于休眠或挂起状态。另外，一些计算机使用ECC内存，它们在断电后会清除内存中的信息的速度非常快，根本没有机会执行相对来说非常短暂的内存映像工作。

　　因此，要防范冷启动方式的内存映像攻击，在重要的上使用ECC内存，从物理上防止人们接触到计算机，禁用计算机网卡的PXE远程启动功能，就可以达到非常好的效果。

　　但是，这些防范方法很难杜绝来自内部的攻击。例如一个拥有接触目标计算机权限的员工，就很容易使用USB内存映像工具，从锁定了屏幕的服务器的内存中获取重要的信息，然后将USB磁盘带出企业。这就说明在使用防范内存映像攻击方法的同时，还必需使用其它的安全防范策略，才有可能将这种安全威胁减小至最小的水平。

　　不过，内存映像工具并不只是可以用于进行攻击，它还可以作为一种积极的工具，帮助我们对受到攻击的计算机进行取证。或者当你不记得屏幕保护程序的锁定密码，以及忘记休眠后的系统登录密码时，也可以使用内存映像工具来得到正确的密码。