私钥

对手可能会在受损系统上搜索私钥证书文件，以查找不安全存储的凭据。私有加密密钥和证书用于身份验证、加密/解密和数字签名。(引用: Wikipedia Public Key Crypto) 常见的密钥和证书文件扩展名包括：.key、.pgp、.gpg、.ppk、.p12、.pem、.pfx、.cer、.p7b、.asc。 对手可能还会在常见密钥目录中查找，例如 * nix 系统上的 ~/.ssh 或 Windows 上的 C:\Users\(username)\.ssh\。对手工具还可能在受损系统上搜索与加密密钥和证书相关的文件扩展名。(引用: Kaspersky Careto)(引用: Palo Alto Prince of Persia) 当设备注册到 Entra ID 时，会生成设备密钥和传输密钥，用于验证设备的身份。(引用: Microsoft Primary Refresh Token) 对手访问设备后，可能能够导出密钥以冒充设备。(引用: AADInternals Azure AD Device Identities) 在网络设备上，私钥可以通过网络设备 CLI 命令（如 crypto pki export）导出。(引用: cisco_deploy_rsa_keys) 某些私钥需要密码或口令才能操作，因此对手可能还会使用输入捕获进行键盘记录或尝试离线暴力破解口令。这些私钥可用于身份验证到远程服务（如 SSH）或用于解密其他收集的文件（如电子邮件）。