как люди восстанавливают данные из оперативной памяти?

Мне просто любопытно. Я читал о правоохранительных органах и о том, что не восстанавливает компрометирующие данные из ОЗУ, чтобы получить доказательства, но как это делается? Какое оборудование нужно для восстановления файлов из ОЗУ?

3 ответа:

заморозьте чип, вставьте его в другой компьютер и запустите команду linux dd, чтобы скопировать необработанные данные на диск.

после того, как у вас есть необработанные данные, скопируйте их в новый раздел с помощью dd снова и запустите программу восстановления на разделе. Undelete должен вытаскивать любые файлы, которые попадают под узнаваемый формат (например, фотографии и т. д...). Остальные могут быть дополнительно обработаны, но не легко, если вы не знаете, что вы ищете.

Я не могу сказать, что я сделал это сам, но нетрудно представить, как это делается.

проверить этой видео, которое Даниэль Бек опубликовал в комментариях, чтобы увидеть демонстрацию того, как взломать шифрование жесткого диска с помощью этого метода.

вы не можете (на практике). Оперативная память должна постоянно обновляться, чтобы "помнить", когда компьютер выключен, заряд утекает через минуту или около того.

форма Википедия

динамическая оперативная память (DRAM) - это тип оперативной памяти, которая хранит каждый бит данных в отдельном конденсаторе в интегральной схеме. Поскольку реальные конденсаторы утечки заряда, информация в конечном итоге исчезает, если заряд конденсатора не обновляется периодически. Из-за этого требования обновления это динамическая память в отличие от SRAM и другой статической памяти.

основная память ("Оперативная память") в персональных компьютерах-это динамическая оперативная память (DRAM), а также" оперативная память " домашних игровых консолей (PlayStation, Xbox 360 и Wii), ноутбуков, ноутбуков и рабочих станций.

преимуществом DRAM является его структурная простота: требуется только один транзистор и конденсатор на бит, по сравнению с шестью транзисторами в SRAM. Эта драма позволяет достичь очень высокой плотности. В отличие от флэш-памяти, постоянной памяти (ср. энергонезависимая память), так как она теряет свои данные при отключении питания. Используемые транзисторы и конденсаторы чрезвычайно малы-миллионы могут поместиться на одном чипе памяти.

ячейки DRAM хранят электрические заряды. Они протекают, так что, как уже упоминалось, они должны быть обновлены.

существуют производственные допуски, а также влияние температуры и возраста компонентов, которые будут определять фактическое время, необходимое для ячейки DRAM, которая больше не читается надежно, если она не была обновлена. Спецификация обновления для данного чипа DRAM на самом деле будет наихудшим значением - что - то, что будет держать ваши данные читаемыми с помощью чипов monday-production что работает при максимальной температуре в течение 20 лет более или менее. В большинстве случаев, ячейка может хранить данные гораздо дольше.

кроме того, схема внутри чипа DRAM решает, считать ли количество заряда в данной ячейке как "0" или "1" (в некоторых конструкциях это может быть отменено - низкий заряд означает "1"). Содержание заряда, которое недостаточно высоко, чтобы считываться как "1", все еще находится в ячейке , а в некоторых случаях-при запуске чипа DRAM с рабочим напряжением вне спецификации (что может усилить его или сделать его намного медленнее, но еще не разрушит его), пороговое напряжение, на котором 1 определяется из 0, можно временно манипулировать, поэтому некоторые или все ячейки снова становятся читаемыми.

кроме того, если на самом деле нет выходного регистра, могут быть тонкие различия напряжения или формы волны даже в квантованном (переключенном на 1 или 0) выходном сигнале, который может дать вам подсказку о том, какой заряд на самом деле находится в ячейке - компараторы (которые считывают усилители) являются редко идеальные квантователи, особенно если они построены для скорости, а не точности.

кроме того, если ячейка считывает ненадежно, определенный злоумышленник или криминалист все еще может использовать статистику в своих интересах (подсчитайте, сколько раз 0 или 1 считывается и коррелирует)...