คนจะกู้คืนข้อมูลจาก ram ได้อย่างไร

ฉันแค่อยากรู้ ฉันได้อ่านเกี่ยวกับการบังคับใช้กฎหมายและสิ่งที่ไม่กู้คืนข้อมูลที่ถูกกล่าวหาจากหน่วยความจำเพื่อรับหลักฐาน แต่ทำอย่างไร? อุปกรณ์ชนิดใดที่เราต้องการกู้คืนไฟล์จาก RAM

memory

— steini
แหล่งที่มา

คำตอบ:

ตรึงชิปวางไว้ในคอมพิวเตอร์เครื่องอื่นแล้วเรียกใช้คำสั่ง linux dd เพื่อคัดลอกข้อมูลดิบไปยังดิสก์

หลังจากคุณมีข้อมูลดิบแล้วให้คัดลอกไปยังพาร์ติชันใหม่โดยใช้ dd อีกครั้งและเรียกใช้โปรแกรมยกเลิกการลบบนพาร์ติชัน การยกเลิกการลบควรดึงไฟล์ใด ๆ ที่อยู่ในรูปแบบที่รู้จัก (เช่นรูปภาพ ฯลฯ ... ) ส่วนที่เหลือสามารถดำเนินการต่อไปได้ แต่ไม่ง่ายหากคุณไม่ทราบว่ากำลังมองหาอะไร

ฉันไม่สามารถพูดได้ว่าฉันทำเอง แต่ก็ไม่ยากที่จะจินตนาการว่าจะทำอย่างไร

ลองชมวิดีโอนี้ที่ Daniel Beck โพสต์ไว้ในความคิดเห็นเพื่อดูการสาธิตวิธีถอดรหัสการเข้ารหัสฮาร์ดไดรฟ์ด้วยวิธีนี้

— Evan Plaice
แหล่งที่มา

บอร์ดดังกล่าวมีลิงค์ไปยังหน้าเว็บในเว็บไซต์ CITP ของ Ed Feltenพร้อมด้วยงานวิจัยต้นฉบับในหัวข้อ

— Daniel Beck

นี่ไม่ใช่ "การบังคับใช้กฎหมาย" เป็นสิ่งที่สามารถทำได้ภายใต้เงื่อนไขที่มีการควบคุม หากคุณมีคอมพิวเตอร์ประเภทนั้น (ไม่กี่นาทีและไนโตรเจนเหลวบางชนิด) ทำไมไม่ปิดเครื่อง

— Nifle

@Nifle อาจมีบางคนที่มีความสนใจอย่างมากในการปิดคอมพิวเตอร์ของเขาก่อนที่จะถูกตรึงอยู่กับพื้นผิวใกล้เคียง นอกจากนี้ยังเป็นการวิจัยล่าสุดและส่วนใหญ่ไม่ได้เกี่ยวกับการใช้งานจริง

— Daniel Beck

@ ไม่เป็นความจริง ไม่ใช้เครื่องมือพิเศษใด ๆ เครื่องพ่นสารเคมีสามารถ (เพื่อทำให้ชิปเย็นลง) และการติดตั้งลินุกซ์ขั้นต่ำซึ่งรวมถึงเครื่องมือที่จำเป็น (และใช้ได้อย่างอิสระ) ที่ใช้งานบนไดรฟ์ usb หรือคอมพิวเตอร์แยกต่างหากก็เป็นไปได้

— Evan Plaice

แต่ถ้าคุณบูทคอมพิวเตอร์ด้วย RAM มันจะไม่ลบทุกอย่างในระหว่าง POST หรือเปล่า

— steini

คุณไม่สามารถ (ในทางปฏิบัติ) แรมต้องได้รับการรีเฟรชอยู่ตลอดเวลาเพื่อให้ "จดจำ" อยู่เสมอเมื่อคอมพิวเตอร์ถูกปิดการชาร์จประจุจะรั่วไหลออกมาหลังจากนั้นประมาณหนึ่งนาที

แบบฟอร์มวิกิพีเดีย

หน่วยความจำเข้าถึงโดยสุ่มแบบไดนามิก (DRAM) เป็นหน่วยความจำเข้าถึงโดยสุ่มซึ่งเก็บข้อมูลแต่ละบิตไว้ในตัวเก็บประจุแยกต่างหากภายในวงจรรวม เนื่องจากตัวเก็บประจุที่แท้จริงมีการรั่วไหลของข้อมูลในที่สุดข้อมูลก็จะจางหายไปเว้นแต่ค่าตัวเก็บประจุจะถูกรีเฟรชเป็นระยะ เนื่องจากข้อกำหนดการรีเฟรชนี้จึงเป็นหน่วยความจำแบบไดนามิกซึ่งต่างกับ SRAM และหน่วยความจำแบบคงที่อื่น ๆ

หน่วยความจำหลัก ("RAM") ในคอมพิวเตอร์ส่วนบุคคลคือ Dynamic RAM (DRAM) เช่นเดียวกับ "RAM" ของเครื่องเล่นเกมในบ้าน (PlayStation, Xbox 360 และ Wii) แล็ปท็อปคอมพิวเตอร์โน้ตบุ๊กและเวิร์กสเตชัน

ข้อดีของ DRAM คือโครงสร้างที่เรียบง่าย: มีเพียงหนึ่งทรานซิสเตอร์และตัวเก็บประจุที่จำเป็นต่อบิตเมื่อเทียบกับทรานซิสเตอร์หกตัวใน SRAM สิ่งนี้ช่วยให้ DRAM เข้าถึงความหนาแน่นสูงมาก ซึ่งแตกต่างจากหน่วยความจำแฟลชมันเป็นหน่วยความจำระเหย (เทียบกับหน่วยความจำแบบไม่ลบเลือน) เนื่องจากมันจะสูญเสียข้อมูลเมื่อพลังงานถูกลบออก ทรานซิสเตอร์และตัวเก็บประจุที่ใช้มีขนาดเล็กมาก - นับล้านสามารถใส่ในชิปหน่วยความจำเดียว

— Nifle
แหล่งที่มา

คำหลักคือ "ในที่สุด" รายงานการวิจัยฉบับนี้citp.princeton.edu/memoryแสดงให้เห็นว่า RAM เก็บเนื้อหาไว้ไม่กี่วินาทีจนถึงไม่กี่นาทีหลังจากที่มันสิ้นเปลืองพลังงานแม้หลังจากที่มันถูกลบออกจากเมนบอร์ดซึ่งมีความยาวเพียงพอสำหรับผู้โจมตีที่สามารถเข้าถึงร่างกายได้ เครื่อง

— jg-faustus

@ jg-faustus หากคุณสามารถเข้าถึงคอมพิวเตอร์ได้ทำไมต้องปิดเครื่อง

— Nifle

@Nifle หากถูกล็อคคุณจะไม่เห็นว่าไฟล์ใดที่ผู้ใช้กำลังใช้งานอยู่ คุณสามารถรีสตาร์ทได้และ (หากคุณใช้ Windows) แฮ็กรหัสผ่านของคุณ แต่ถ้าไดรฟ์นั้นไม่ได้เข้ารหัส ด้วยเครื่องมือที่เหมาะสมและชิปแรมที่ดึงมาใหม่คุณสามารถถอดรหัสคีย์การเข้ารหัสฮาร์ดไดรฟ์ได้ด้วยการอ่าน RAM ในด้านความปลอดภัยและการพิสูจน์หลักฐานเทคนิคเล็ก ๆ น้อย ๆ เหล่านี้มีประโยชน์อย่างยิ่ง

— Evan Plaice

@Evan แหล่งที่มาสำหรับความคิดเห็นของคุณ

— Daniel Beck

@Evan - ฉันยังคงคิดว่ามันเป็น "สถานการณ์ปกติ" มากกว่าที่ OP อ้างถึง ตำรวจแสดงตัวและนำคอมพิวเตอร์ของคุณไปด้วย " และไม่ใช่ "วินาทีหลังจากที่คุณปิดเครื่องคอมพิวเตอร์ DHS จะบุกอพาร์ตเมนต์ของคุณและอีกไม่กี่วินาทีต่อมาพวกเขาจะทำให้คอมพิวเตอร์ของคุณถูกถอดออกในห้องปฏิบัติการแยก RAM แบบพกพา"

— Nifle

เซลล์ DRAM เก็บค่าไฟฟ้า พวกมันรั่วดังนั้นดังที่ได้กล่าวมาพวกเขาจำเป็นต้องรีเฟรช

มีความคลาดเคลื่อนในการผลิตและอิทธิพลของอุณหภูมิและอายุส่วนประกอบที่จะกำหนดเวลาจริงที่ใช้สำหรับเซลล์ DRAM จะไม่สามารถอ่านได้อย่างน่าเชื่อถืออีกต่อไปหากยังไม่ได้รับการฟื้นฟู ข้อมูลจำเพาะการรีเฟรชสำหรับชิป DRAM ที่ระบุจะเป็นค่าตัวพิมพ์ที่เลวร้ายที่สุดซึ่งเป็นสิ่งที่จะทำให้ข้อมูลของคุณอ่านได้ด้วยชิปที่ผลิตในวันจันทร์ซึ่งทำงานที่อุณหภูมิสูงสุดเป็นเวลา 20 ปีขึ้นไป ในกรณีส่วนใหญ่เซลล์สามารถเก็บข้อมูลได้นานขึ้น

นอกจากนี้วงจรภายในชิป DRAM จะตัดสินใจว่าจะอ่านจำนวนประจุในเซลล์ที่กำหนดว่าเป็น "0" หรือ "1" (ในการออกแบบบางอย่างซึ่งอาจย้อนกลับได้ - ประจุต่ำหมายถึง "1") ชาร์จเนื้อหาที่ไม่สูงพอที่จะอ่านได้เนื่องจาก "1" ยังคงอยู่ในเซลล์ - และในบางกรณีโดยใช้ชิป DRAM ที่มีแรงดันไฟฟ้าเกินข้อกำหนด (ซึ่งอาจทำให้เครียดหรือทำให้ช้าลง แต่จะยังไม่ทำลาย) แรงดันไฟฟ้าเกณฑ์ที่ 1 จาก 0 สามารถจัดการได้ชั่วคราวดังนั้นเซลล์บางส่วนหรือทั้งหมดสามารถอ่านได้อีกครั้ง

นอกจากนี้หากไม่มีการลงทะเบียนเอาท์พุทอาจมีความแตกต่างของแรงดันไฟฟ้าหรือความแตกต่างของรูปคลื่นแม้จะอยู่ในสัญญาณเอาต์พุตเชิงปริมาณ (เปลี่ยนเป็น 1 หรือ 0) ที่สามารถบอกใบ้ให้คุณได้ว่า แอมพลิฟายเออร์เป็น) เป็นตัวหาปริมาณที่สมบูรณ์แบบโดยเฉพาะอย่างยิ่งหากสร้างขึ้นเพื่อความเร็วที่ไม่แม่นยำ

นอกจากนี้หากเซลล์อ่านไม่สามารถต้านทานได้ผู้โจมตีหรือนิติวิทยาศาสตร์ที่ถูกกำหนดยังสามารถใช้สถิติเพื่อประโยชน์ของเขาได้ (นับจำนวนการอ่าน 0 หรือ 1 ครั้งและสัมพันธ์กัน) ...

— rackandboneman
แหล่งที่มา