Làm thế nào để mọi người phục hồi dữ liệu từ ram?

11

Tôi chỉ tò mò thôi. Tôi đã đọc về thực thi pháp luật và những gì không phục hồi dữ liệu liên quan từ ram để có bằng chứng, nhưng nó được thực hiện như thế nào? Những loại thiết bị nào người ta sẽ cần để phục hồi các tập tin từ một thanh ram?

memory 
steini
nguồn

Câu trả lời:

10

Đóng băng chip, đưa nó vào một máy tính khác và chạy lệnh linux dd để sao chép dữ liệu thô vào đĩa.

Sau khi bạn có dữ liệu thô, sao chép nó vào một phân vùng mới bằng cách sử dụng dd một lần nữa và chạy một chương trình chưa xóa trên phân vùng. Không phục hồi sẽ lấy ra bất kỳ tệp nào thuộc định dạng dễ nhận biết (ảnh cũ, v.v ...). Phần còn lại có thể được xử lý thêm nhưng không dễ dàng trừ khi bạn biết bạn đang tìm kiếm điều gì.

Tôi không thể nói rằng tôi đã tự làm việc này nhưng không khó để tưởng tượng nó đã được thực hiện như thế nào.

Kiểm tra video này mà Daniel Beck đã đăng trong các bình luận để xem một minh họa về cách bẻ khóa mã hóa ổ cứng bằng phương pháp này.

Evan Plaice
nguồn
3
Bảng đó chứa một liên kết đến một trang trên trang web CITP của Ed Felten với nghiên cứu ban đầu về chủ đề này.
Daniel Beck
Đây không phải là "Thực thi pháp luật", đó là điều có thể được thực hiện trong các điều kiện được kiểm soát. Nếu bạn có quyền truy cập vào máy tính (một vài phút và một ít nitơ lỏng), tại sao không giữ nó tắt.
Nifle
@Nifle Có lẽ ai đó có hứng thú đáng kể trong việc tắt máy tính của mình trước khi bị ghim vào bề mặt gần đó. Ngoài ra, đây là nghiên cứu gần đây và phần lớn không phải là về các ứng dụng thực tế ngay lập tức.
Daniel Beck
2
@Nifle không đúng. nó không có bất kỳ công cụ đặc biệt để thực hiện. Một máy phun không khí có thể (để làm mát chip) và cài đặt linux tối thiểu bao gồm một số công cụ cần thiết (và có sẵn miễn phí) chạy trên ổ đĩa USB hoặc máy tính riêng biệt là tất cả những gì nó cần.
Evan Plaice
1
Nhưng nếu bạn khởi động máy tính bằng ram, điều đó sẽ không xóa mọi thứ trên nó trong POST?
steini
1

Bạn không thể (trong thực tế). RAM cần phải được làm mới liên tục để tiếp tục "ghi nhớ", khi máy tính tắt nguồn sạc bị rò rỉ sau một phút hoặc lâu hơn.

Mẫu wikipedia

Bộ nhớ truy cập ngẫu nhiên động (DRAM) là một loại bộ nhớ truy cập ngẫu nhiên lưu trữ từng bit dữ liệu trong một tụ điện riêng trong một mạch tích hợp. Kể từ khi tụ điện thực bị rò rỉ, thông tin cuối cùng sẽ mất dần trừ khi phí tụ được làm mới định kỳ. Do yêu cầu làm mới này, nó là một bộ nhớ động trái ngược với SRAM và bộ nhớ tĩnh khác.

Bộ nhớ chính ("RAM") trong máy tính cá nhân là Dynamic RAM (DRAM), cũng như "RAM" của các máy chơi game gia đình (PlayStation, Xbox 360 và Wii), máy tính xách tay, máy tính xách tay và máy trạm.

Ưu điểm của DRAM là sự đơn giản về cấu trúc của nó: chỉ cần một bóng bán dẫn và tụ điện cho mỗi bit, so với sáu bóng bán dẫn trong SRAM. Điều này cho phép DRAM đạt được mật độ rất cao. Không giống như bộ nhớ flash, nó là bộ nhớ dễ bay hơi (xem bộ nhớ không bay hơi), vì nó mất dữ liệu khi mất điện. Các bóng bán dẫn và tụ điện được sử dụng rất nhỏ, hàng triệu triệu có thể vừa với một chip bộ nhớ.

Tiện lợi
nguồn
5
Từ khóa là "cuối cùng". Tài liệu nghiên cứu này citp.princeton.edu/memory cho thấy RAM giữ nội dung của nó trong vài giây đến vài phút sau khi mất điện, ngay cả khi nó bị gỡ khỏi bo mạch chủ, đủ lâu để kẻ tấn công có quyền truy cập vật lý vào máy móc.
jg-faustus
2
@ jg-faustus Nếu bạn có quyền truy cập vào máy tính, tại sao lại tắt nó?
Nifle
5
@Nifle Nếu nó bị khóa, bạn sẽ không thấy những tập tin người dùng hiện đang sử dụng. Bạn có thể khởi động lại nó và (nếu bạn đang sử dụng windows) hack theo cách của bạn xung quanh mật khẩu nhưng chỉ khi ổ đĩa không được mã hóa. Với các công cụ phù hợp và chip ram mới được cắm, bạn thậm chí có thể bẻ khóa mã hóa ổ cứng bằng cách đọc ram. Trong các lĩnh vực bảo mật và pháp y, những kỹ thuật nhỏ này có thể cực kỳ hữu ích.
Evan Plaice
2
Daniel Beck
6
@Evan - Tôi vẫn nghĩ đó là "tình huống bình thường" hơn mà OP đang đề cập. "Cảnh sát xuất hiện và lấy máy tính của bạn." và không phải "Vài giây sau khi bạn tắt máy tính, DHS gây bão căn hộ của bạn và vài giây sau họ đã tháo máy tính trong phòng thí nghiệm trích xuất RAM di động của họ"
Nifle
0

Tế bào DRAM lưu trữ điện tích. Chúng bị rò rỉ, vì vậy như đã đề cập, chúng cần được làm mới.

Có dung sai sản xuất và ảnh hưởng của nhiệt độ và tuổi thành phần, sẽ xác định thời gian THỰC TẾ để một tế bào DRAM không còn có thể đọc được một cách đáng tin cậy nếu nó không được làm mới. Thông số làm mới cho một chip DRAM nhất định sẽ thực sự là một giá trị trường hợp xấu nhất - thứ gì đó sẽ giữ cho dữ liệu của bạn có thể đọc được với các chip sản xuất thứ hai đã chạy ở nhiệt độ tối đa trong 20 năm hoặc ít hơn. Trong hầu hết các trường hợp, tế bào có thể giữ dữ liệu lâu hơn.

Ngoài ra, mạch bên trong chip DRAM quyết định xem lượng điện tích trong một ô đã cho là "0" hay "1" (trong một số thiết kế, có thể bị đảo ngược - điện tích thấp có nghĩa là "1"). Nội dung sạc không đủ cao để được đọc là "1" vẫn còn trong ô - và trong một số trường hợp, bằng cách chạy chip DRAM với điện áp hoạt động ngoài luồng (có thể gây căng thẳng hoặc làm chậm hơn , nhưng sẽ không phá hủy nó), điện áp ngưỡng mà 1 được quyết định từ 0 có thể được thao tác tạm thời, do đó một số hoặc tất cả các ô trở nên có thể đọc lại được.

Ngoài ra, trừ khi thực sự có một thanh ghi đầu ra, có thể có sự khác biệt điện áp hoặc dạng sóng tinh tế ngay cả trong tín hiệu đầu ra được lượng tử hóa (chuyển sang 1 hoặc 0) có thể cho bạn một gợi ý về điện tích thực sự trong bộ so sánh tế bào (đọc bộ khuếch đại là) hiếm khi là bộ lượng hóa hoàn hảo, đặc biệt nếu chúng được chế tạo cho tốc độ không chính xác.

Ngoài ra, nếu một ô đọc không đáng tin cậy, kẻ tấn công hoặc nhà pháp y xác định vẫn có thể sử dụng số liệu thống kê cho lợi thế của mình (đếm số lần đọc 0 hoặc 1 và tương quan) ...

rackandboneman
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.