Мне просто интересно. Я читал о правоохранительных органах и о том, что не нужно извлекать компрометирующие данные из оперативной памяти, чтобы получить доказательства, но как это сделать? Какое оборудование понадобится для восстановления файлов с флешки?
11
3 ответа
10
Заморозьте чип, вставьте его в другой компьютер и запустите команду linux dd, чтобы скопировать необработанные данные на диск.
Получив необработанные данные, скопируйте их в новый раздел, снова используя dd, и запустите на нем программу восстановления. Undelete должен извлекать любые файлы, которые попадают в распознаваемый формат (например, картинки и т.д.). Остальные могут быть дополнительно обработаны, но не легко, если вы не знаете, что ищете.
Не могу сказать, что сделал это сам, но не трудно представить, как это делается.
Посмотрите это видео, которое Дэниел Бек разместил в комментариях, чтобы увидеть демонстрацию того, как взломать шифрование жесткого диска с помощью этого метода.
1
Вы не можете (на практике). ОЗУ необходимо постоянно обновлять, чтобы "запоминать", когда компьютер выключается, через минуту или около того происходит утечка заряда.
Форма википедии
Динамическое оперативное запоминающее устройство (DRAM) - это тип оперативного запоминающего устройства, в котором каждый бит данных хранится в отдельном конденсаторе в интегральной схеме. Поскольку реальные конденсаторы теряют заряд, информация в конечном итоге исчезает, если заряд конденсатора не обновляется периодически. Из-за этого требования обновления это динамическая память, в отличие от SRAM и другой статической памяти.
Основная память ("ОЗУ") в персональных компьютерах - это динамическая ОЗУ (DRAM), а также "ОЗУ" домашних игровых консолей (PlayStation, Xbox 360 и Wii), ноутбуков, ноутбуков и компьютеров рабочих станций.
Преимущество DRAM заключается в его структурной простоте: требуется только один транзистор и конденсатор на бит, по сравнению с шестью транзисторами в SRAM. Это позволяет DRAM достигать очень высоких плотностей. В отличие от флэш-памяти, это энергозависимая память (ср. Энергонезависимая память), поскольку она теряет свои данные при отключении питания. Используемые транзисторы и конденсаторы чрезвычайно малы - миллионы могут поместиться на одном чипе памяти.
0
Ячейки DRAM хранят электрические заряды. Они негерметичны, поэтому, как уже упоминалось, их необходимо обновить.
Существуют производственные допуски, а также влияние температуры и срока службы компонентов, которые определяют фактическое время, необходимое для того, чтобы ячейка DRAM перестала надежно считываться, если она не была обновлена. Спецификация обновления для конкретной микросхемы DRAM на самом деле будет иметь значение наихудшего случая - то, что обеспечит возможность чтения ваших данных с помощью микросхем понедельника, которые работают при максимальной температуре в течение более или менее 20 лет. В большинстве случаев ячейка может хранить данные гораздо дольше.
Кроме того, схема внутри микросхемы DRAM решает, считать ли величину заряда в данной ячейке как "0" или "1" (в некоторых конструкциях это может быть наоборот - низкий заряд означает "1"). Уровень заряда, который недостаточно высок, чтобы считывать "1", все еще находится в ячейке - и в некоторых случаях при работе микросхемы DRAM с нестандартным рабочим напряжением (которое может вызвать стресс или сделать его намного медленнее). , но еще не уничтожит его), пороговое напряжение, при котором 1 определяется из 0, может временно изменяться, поэтому некоторые или все ячейки снова становятся читаемыми.
Кроме того, если на самом деле нет выходного регистра, могут существовать незначительные различия напряжения или формы сигнала даже в квантованном (переключенном на 1 или 0) выходном сигнале, который может дать вам подсказку о том, какой заряд действительно находится в элементе - компараторах (которые считывают Усилители редко бывают идеальными квантователями, особенно если они созданы для скорости, а не для точности.
Кроме того, если ячейка читает ненадежно, решительный злоумышленник или криминалист может по-прежнему использовать статистику в своих интересах (подсчитать, сколько раз читается 0 или 1, и сопоставить)...