Можно вообще не копировать, а смонтировать удаленную файловую систему на локальном компьютере.

На локальном зараженном компьютере? Плохая идея.

На локальном зараженном компьютере? Плохая идея.

По условиям задачи потенциально заражен удаленный компьютер в дата-центре (виртуалка, к которой получил доступ владелец сервиса). Локальный компьютер полностью контролируется нами и, следовательно, чист.

Так лучше. Но та зараженая виртуалка, она, например исполняет одно, а отдаёт другое, чистое.

Но та зараженая виртуалка, она, например исполняет одно, а отдаёт другое, чистое.

Да, мне уже писали это возражение. IMHO, организовать такое очень сложно...

Да, мне уже писали это возражение. IMHO, организовать такое очень сложно

Не очень. Это если рассматривать вариант, при котором внутри VM необходимо заменить какие-то файлы на свои.

И совсем несложно просто читать расшифрованные данные. В этом случае обнаружить проблему будет невозможно до тех пор, пока эти данные не используют по назначению (продадут конкурентам, в NSA, ФСБ, и.т.п, а те, в свою очередь, выпустят продукт раньше/пришлют пативэн, и.т.д.)

Если ты не ничерта не умеешь, не значит что другие не умеют

Абсолютно ничего сложного. Намного проще тех ухищрений на которые приходится злодеям идти сейчас для достижения похожих целей.

IME взаимодействует со всем на низком уровне, тоесть, ОС-специфичные данные вроде файлов, или определения содержимого памяти он не сиожет...

НО... IME может помочь обойти секъюрбут и TPM для использования метода Рутковской — загрузить ОСь внутри гипервизора...

(и тут всё становится проще во много раз, с ужасом понимаешь, что такая атака ВОЗМОЖНА, если за неё возьмутся например гос-структуры)