как люди восстанавливают данные из оперативной памяти?


11

Мне просто интересно. Я читал о правоохранительных органах и о том, что не нужно извлекать компрометирующие данные из оперативной памяти, чтобы получить доказательства, но как это сделать? Какое оборудование понадобится для восстановления файлов с флешки?

Ответы:


10

Заморозьте чип, вставьте его в другой компьютер и запустите команду linux dd, чтобы скопировать необработанные данные на диск.

Получив необработанные данные, скопируйте их в новый раздел, снова используя dd, и запустите на нем программу восстановления. Undelete должен извлечь все файлы, которые попадают в распознаваемый формат (например, картинки и т. Д.). Остальные могут быть дополнительно обработаны, но не легко, если вы не знаете, что ищете.

Не могу сказать, что сделал это сам, но не трудно представить, как это делается.

Посмотрите это видео, которое Дэниел Бек разместил в комментариях, чтобы увидеть демонстрацию того, как взломать шифрование жесткого диска с помощью этого метода.


3
На этой доске есть ссылка на страницу на сайте CITP Эда Фельтена с оригинальным исследованием этой темы.
Даниэль Бек

Это не «Правоприменение», это то, что можно сделать в контролируемых условиях. Если у вас есть такой доступ к компьютеру (несколько минут и немного жидкого азота), почему бы не отключить его.
Nifle

@Nifle Вероятно, есть кто-то, кто заинтересован в том, чтобы выключить компьютер за несколько секунд до того, как его прижмут к ближайшей поверхности. Кроме того, это довольно недавнее исследование, и большая часть этого не касается непосредственного практического применения.
Даниэль Бек

2
@Nifle не правда. для этого не требуется никаких специальных инструментов. Все, что нужно, - это воздушный распылитель (для охлаждения чипа) и минимальная установка Linux, которая включает в себя несколько необходимых (и свободно доступных) инструментов, работающих на USB-накопителе или отдельном компьютере.
Эван Плейс

1
Но если вы загрузите компьютер с оперативной памяти, разве это не сотрет все на нем во время POST?
Steini

1

Вы не можете (на практике). ОЗУ необходимо постоянно обновлять, чтобы «запоминать», когда компьютер выключается, через минуту или около того происходит утечка заряда.

Форма википедии

Динамическое оперативное запоминающее устройство (DRAM) - это тип оперативного запоминающего устройства, в котором каждый бит данных хранится в отдельном конденсаторе в интегральной схеме. Поскольку реальные конденсаторы теряют заряд, информация в конечном итоге исчезает, если заряд конденсатора не обновляется периодически. Из-за этого требования обновления это динамическая память, в отличие от SRAM и другой статической памяти.

Основной памятью («ОЗУ») в персональных компьютерах является динамическая ОЗУ (DRAM), а также «ОЗУ» домашних игровых консолей (PlayStation, Xbox 360 и Wii), ноутбуков, ноутбуков и компьютеров рабочих станций.

Преимуществом DRAM является его структурная простота: требуется только один транзистор и конденсатор на бит, по сравнению с шестью транзисторами в SRAM. Это позволяет DRAM достигать очень высоких плотностей. В отличие от флэш-памяти, это энергозависимая память (ср. Энергонезависимая память), поскольку она теряет свои данные при отключении питания. Используемые транзисторы и конденсаторы чрезвычайно малы - миллионы могут поместиться на одном чипе памяти.


5
Ключевое слово "в конце концов". Эта исследовательская статья citp.princeton.edu/memory показывает, что ОЗУ сохраняет свое содержимое от нескольких секунд до нескольких минут после потери питания, даже после того, как оно удалено с материнской платы, что достаточно для злоумышленника с физическим доступом к машина.
jg-faustus

2
@ jg-faustus Если у вас есть доступ к компьютеру, зачем его выключать?
Nifle

5
@Nifle Если он заблокирован, вы не увидите, какие файлы использует пользователь. Вы можете перезапустить его и (если вы используете Windows) взломать пароль, но только если диск не зашифрован. С правильными инструментами и свежим чипом оперативной памяти вы можете даже взломать ключ шифрования жесткого диска, прочитав оперативную память. В области безопасности и криминалистики эти маленькие методы могут быть чрезвычайно полезны.
Эван Плейс


6
@Evan - Я все еще думаю, что это больше "нормальные ситуации", на которые ссылается OP. «Полицейские появляются и забирают ваш компьютер». а не «Через несколько секунд после того, как вы закрыли свой компьютер, DHS штурмует вашу квартиру, и через несколько секунд ваш компьютер будет демонтирован в их портативной лаборатории по извлечению ОЗУ»
Nifle

0

Ячейки DRAM хранят электрические заряды. Они негерметичны, поэтому, как уже упоминалось, их необходимо обновить.

Существуют производственные допуски и влияние температуры и срока службы компонентов, которые определяют фактическое время, необходимое для того, чтобы ячейка DRAM перестала надежно считываться, если она не была обновлена. Спецификация обновления для конкретной микросхемы DRAM на самом деле будет наихудшим значением - то, что обеспечит возможность считывания ваших данных с микросхем понедельника, которые работают при максимальной температуре более 20 лет. В большинстве случаев ячейка может хранить данные гораздо дольше.

Кроме того, схема внутри микросхемы DRAM решает, считать ли величину заряда в данной ячейке как «0» или «1» (в некоторых конструкциях это может быть наоборот - низкий заряд означает «1»). Уровень заряда, который недостаточно высок, чтобы считывать «1», все еще находится в ячейке - и в некоторых случаях при работе микросхемы DRAM с нестандартным рабочим напряжением (которое может вызвать стресс или сделать его намного медленнее). , но еще не разрушит его), пороговое напряжение, при котором 1 определяется из 0, может временно изменяться, поэтому некоторые или все ячейки снова становятся читаемыми.

Кроме того, если на самом деле нет выходного регистра, могут существовать незначительные различия напряжения или формы сигнала даже в квантованном (переключенном на 1 или 0) выходном сигнале, который может дать вам подсказку о том, какой заряд фактически находится в элементе - компараторах (которые считывают Усилители редко бывают идеальными квантователями, особенно если они созданы для скорости, а не для точности.

Кроме того, если ячейка читает ненадежно, решительный злоумышленник или криминалист может по-прежнему использовать статистику в своих интересах (подсчитать, сколько раз читается 0 или 1, и сопоставить) ...

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.