insanlar ram'dan veri nasıl kurtarır?

11

Ben sadece merak ediyorum. Kolluk kuvvetleri ve delil almak için koçtan suçlu verileri kurtarmayan şeyleri okudum, ama nasıl yapılır? Bir koç çubuğundan dosyaları kurtarmak için ne tür ekipmanlara ihtiyaç duyulur?

memory 
steini
kaynak

Yanıtlar:

10

Çipi dondurun, başka bir bilgisayara yerleştirin ve ham verileri diske kopyalamak için linux dd komutunu çalıştırın.

Ham verileri aldıktan sonra, tekrar dd kullanarak yeni bir bölüme kopyalayın ve bölümdeki silme işlemini geri alın. Silmeyi geri alma, tanınabilir bir biçim (resim, vb.) Altında kalan tüm dosyaları çıkarmalıdır. Ne aradığınızı bilmiyorsanız, geri kalanı daha fazla işlenebilir, ancak kolayca olamaz.

Bunu kendim yaptığımı söyleyemem ama nasıl yapıldığını hayal etmek zor değil.

Check out bu Daniel Beck bu yöntemi kullanarak sabit disk şifreleme çatlak nasıl bir gösteri görmek için yorumlarda yayınladığı videoyu.

Evan Plaice
kaynak
3
Bu kurul, Ed Felten'in CITP sitesindeki konuyla ilgili orijinal araştırma içeren bir sayfaya bağlantı içerir .
Daniel Beck
Bu "Kolluk Kuvvetleri" değil, kontrollü koşullar altında yapılabilecek bir şey. Bilgisayara bu tür bir erişiminiz varsa (birkaç dakika ve biraz sıvı azot) neden kapanmasını engellemiyorsunuz?
Nifle
@Nifle Muhtemelen yakındaki bir yüzeye sabitlenmeden önce bilgisayarını anları kapatmakla ilgilenen biri var. Ayrıca, oldukça yeni bir araştırma ve bunun çoğu pratik uygulamalarla ilgili değil.
Daniel Beck
2
@Nifle doğru değil. başarmak için özel bir araç gerektirmez. Bir hava püskürtücü (çipi soğutmak için) ve bir usb sürücüde veya ayrı bir bilgisayarda çalışan birkaç gerekli (ve serbestçe kullanılabilir) araç içeren minimum bir linux yüklemesi yeterlidir.
Evan Plaice
1
Ancak bilgisayarı koçla önyüklerseniz, POST sırasında üzerindeki her şey silinmez mi?
steini
1

Yapamazsınız (pratikte). Bilgisayar kapatıldığında RAM bir dakika kadar sonra sızıntı yapıyorsa "hatırlamaya" devam etmek için sürekli olarak yenilenmesi gerekir.

Vikipedi formu

Dinamik rasgele erişim belleği (DRAM), her veri bitini tümleşik bir devre içindeki ayrı bir kapasitörde depolayan bir tür rasgele erişim belleğidir. Gerçek kapasitörler şarjı sızdırdığı için, kapasitör şarjı periyodik olarak yenilenmedikçe bilgiler sonunda kaybolur. Bu yenileme gereksinimi nedeniyle, SRAM ve diğer statik belleklerin aksine dinamik bir bellektir.

Kişisel bilgisayarlardaki ana bellek ("RAM"), ev oyun konsollarının (PlayStation, Xbox 360 ve Wii), dizüstü bilgisayar, dizüstü bilgisayar ve iş istasyonu bilgisayarlarının "RAM'i" gibi Dinamik RAM'dir (DRAM).

DRAM'ın avantajı yapısal basitliğidir: SRAM'deki altı transistöre kıyasla bit başına sadece bir transistör ve bir kapasitör gereklidir. Bu DRAM'ın çok yüksek yoğunluklara ulaşmasını sağlar. Flaş bellekten farklı olarak, güç çıkarıldığında verilerini kaybettiği için geçici bir bellektir (bkz. Kalıcı bellek). Kullanılan transistörler ve kapasitörler son derece küçüktür - milyonlarca kişi tek bir bellek yongasına sığabilir.

Nifle
kaynak
5
Anahtar kelime "sonunda" olur. Bu araştırma makalesi citp.princeton.edu/memory , RAM'in güç kaybından sonra, anakarttan çıkarıldıktan sonra bile, içeriğe fiziksel erişime sahip bir saldırgan için yeterince uzun olan birkaç saniye ila birkaç dakika boyunca koruduğunu gösteriyor. makinesi.
jg-faustus
2
@ jg-faustus Bilgisayara erişiminiz varsa, neden kapatıyorsunuz?
Nifle
5
@Nifle Kilitliyse, kullanıcının şu anda hangi dosyaları kullandığını göremezsiniz. Yeniden başlatabilirsiniz ve (Windows kullanıyorsanız) yalnızca sürücünün şifrelenmemesi durumunda parolada yolunuzu kesebilirsiniz. Doğru araçlar ve yeni kopmuş bir koç yongasıyla, koçu okuyarak sabit disk şifreleme anahtarını bile kırabilirsiniz. Güvenlik ve adli tıp alanlarında, bu küçük teknikler son derece yararlı olabilir.
Evan Plaice
2
@Evan Yorumunuzun kaynağı .
Daniel Beck
6
@Evan - Ben hala OP daha çok "normal durumlar" olduğunu düşünüyorum. "Polisler ortaya çıkıyor ve bilgisayarınızı alıyor." ve "Bilgisayarınızı kapattıktan birkaç saniye sonra DHS dairenizi fırtınalar ve birkaç saniye sonra bilgisayarınızı taşınabilir RAM çıkarma laboratuvarında
söktüler
0

DRAM hücreleri elektrik yüklerini depolar. Sızdılar, bu yüzden belirtildiği gibi yenilenmeleri gerekiyor.

DRAM hücresinin yenilenmediyse artık güvenilir bir şekilde okunamayacağı GERÇEK süreyi tanımlayan üretim toleransları ve sıcaklık ve bileşen yaşının etkisi vardır. Belirli bir DRAM çipinin yenileme spesifikasyonu aslında en kötü durum değeri olacaktır - 20 yıldan fazla veya daha az bir süredir maksimum sıcaklıkta çalışan pazartesi üretim çipleri ile verilerinizi okunabilir tutacak bir şey. Çoğu durumda, hücre verileri daha uzun süre tutabilir.

Ek olarak, bir DRAM yongasının içindeki devre, belirli bir hücredeki yük miktarının "0" veya "1" olarak okunup okunmayacağına karar verir (bazı tasarımlarda tersine çevrilebilir - düşük şarj "1" anlamına gelir). "1" olarak okunacak kadar yüksek olmayan şarj içeriği hala hücrede - ve bazı durumlarda, DRAM yongasını spesifikasyon dışı bir çalışma voltajı ile çalıştırarak (onu strese sokabilir veya daha yavaş hale getirebilir) , ancak henüz yok etmez), 1'in 0'dan karar verildiği eşik voltajı geçici olarak manipüle edilebilir, bu nedenle bazı veya tüm hücreler tekrar okunabilir hale gelir.

Ayrıca, gerçekten bir çıkış yazmacı yoksa, nicelleştirilmiş (1 veya 0'a geçirilmiş) çıkış sinyalinde bile, gerçekte hücre - karşılaştırıcılarda hangi yükün ne olduğuna dair bir ipucu verebilecek ince voltaj veya dalga formu farklılıkları olabilir. amplifikatörler) özellikle hassas değil hız için üretildiklerinde nadiren mükemmel niceleyicilerdir.

Ayrıca, bir hücre güvenilir olmayan bir şekilde okursa, kararlı bir saldırgan veya adli tıp uzmanı yine de kendi avantajına sahip istatistikleri kullanabilir (bir 0 veya 1'in kaç kez okunduğunu sayın ve ilişkilendirin) ...

rackandboneman
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.