bagaimana orang memulihkan data dari ram?

11

Saya hanya penasaran. Saya sudah membaca tentang penegakan hukum dan apa yang tidak memulihkan data memberatkan dari ram untuk mendapatkan bukti, tetapi bagaimana hal itu dilakukan? Peralatan apa yang dibutuhkan seseorang untuk memulihkan file dari tongkat ram?

steini
sumber

Jawaban:

10

Bekukan chip, masukkan ke komputer lain, dan jalankan perintah linux dd untuk menyalin data mentah ke disk.

Setelah Anda memiliki data mentah, salin ke partisi baru menggunakan dd lagi dan jalankan program hapus pada partisi. Batalkan penghapusan harus mengeluarkan file apa pun yang berada di bawah format yang dapat dikenali (ex gambar, dll ...). Sisanya bisa diproses lebih lanjut tetapi tidak mudah kecuali Anda tahu apa yang Anda cari.

Saya tidak bisa mengatakan bahwa saya telah melakukan ini sendiri tetapi tidak sulit untuk membayangkan bagaimana hal itu dilakukan.

Lihat video ini yang diposting Daniel Beck di komentar untuk melihat demonstrasi cara memecahkan enkripsi hard drive menggunakan metode ini.

Evan Plaice
sumber
3
Papan itu berisi tautan ke halaman di situs CITP Ed Felten dengan riset orisinal tentang topik itu.
Daniel Beck
Ini bukan "Penegakan Hukum", itu adalah sesuatu yang dapat dilakukan dalam kondisi yang terkendali. Jika Anda memiliki akses ke komputer semacam itu (beberapa menit dan nitrogen cair) mengapa tidak mematikannya.
Nifle
@Nifle Mungkin ada seseorang yang sangat berminat mematikan komputernya beberapa saat sebelum disematkan ke permukaan terdekat. Juga, ini adalah penelitian yang agak baru, dan banyak dari itu bukan tentang aplikasi praktis langsung.
Daniel Beck
2
@ Tidak benar. tidak perlu alat khusus untuk menyelesaikannya. Penyemprot udara dapat (untuk mendinginkan chip) dan instalasi linux minimal yang mencakup beberapa alat yang diperlukan (dan tersedia secara bebas) yang berjalan pada drive usb atau komputer terpisah adalah semua yang diperlukan.
Evan Plaice
1
Tetapi jika Anda mem-boot komputer dengan ram, bukankah itu akan menghapus semua yang ada di dalamnya selama POST?
steini
1

Anda tidak dapat (dalam praktiknya). RAM harus terus disegarkan untuk terus "mengingat", ketika komputer dimatikan bocoran akan keluar setelah sekitar satu menit.

Formulir wikipedia

Dynamic random access memory (DRAM) adalah jenis memori akses acak yang menyimpan setiap bit data dalam kapasitor terpisah dalam sirkuit terintegrasi. Karena kapasitor nyata membebani biaya, informasi akhirnya memudar kecuali muatan kapasitor di-refresh secara berkala. Karena persyaratan penyegaran ini, ini adalah memori dinamis yang berlawanan dengan SRAM dan memori statis lainnya.

Memori utama ("RAM") di komputer pribadi adalah Dynamic RAM (DRAM), seperti "RAM" dari konsol game rumahan (PlayStation, Xbox 360 dan Wii), laptop, notebook, dan komputer workstation.

Keuntungan dari DRAM adalah kesederhanaan strukturalnya: hanya satu transistor dan kapasitor yang diperlukan per bit, dibandingkan dengan enam transistor dalam SRAM. Ini memungkinkan DRAM mencapai kepadatan yang sangat tinggi. Tidak seperti memori flash, itu adalah memori yang mudah menguap (lih. Memori yang tidak mudah menguap), karena kehilangan data ketika daya dilepas. Transistor dan kapasitor yang digunakan sangat kecil — jutaan dapat ditampung dalam satu chip memori.

Nifle
sumber
5
Kata kunci adalah "akhirnya". Makalah penelitian ini citp.princeton.edu/memory menunjukkan bahwa RAM menyimpan kontennya selama beberapa detik hingga beberapa menit setelah kehilangan daya, bahkan setelah dilepas dari motherboard, yang cukup lama bagi penyerang dengan akses fisik ke komputer. mesin.
jg-faustus
2
@ jg-faustus Jika Anda memiliki akses ke komputer, mengapa mematikannya?
Nifle
5
@Nifle Jika terkunci, Anda tidak akan melihat file apa yang sedang digunakan pengguna. Anda dapat me-restart dan (jika Anda menggunakan windows) meretas kata sandi Anda tetapi hanya jika drive tidak dienkripsi. Dengan alat yang tepat dan chip ram yang baru saja dipetik, Anda bahkan dapat memecahkan kunci enkripsi hard drive dengan membaca ram. Di bidang keamanan dan forensik, teknik-teknik kecil ini bisa sangat berguna.
Evan Plaice
2
@Van Sumber untuk komentar Anda .
Daniel Beck
6
@ Evan - Saya masih berpikir ini lebih "situasi normal" yang dimaksud OP. "Polisi muncul dan mengambil komputermu." dan bukan "Detik setelah Anda mematikan komputer Anda, DHS menyerang apartemen Anda dan beberapa detik kemudian komputer Anda dibongkar di laboratorium ekstraksi RAM portabel"
Nifle
0

Sel DRAM menyimpan muatan listrik. Mereka bocor, jadi seperti yang disebutkan, mereka perlu disegarkan.

Ada toleransi manufaktur, dan pengaruh suhu dan usia komponen, yang akan menentukan waktu aktual yang diperlukan untuk sel DRAM untuk tidak lagi dapat dibaca dengan andal jika belum disegarkan. Spesifikasi penyegaran untuk chip DRAM yang diberikan sebenarnya akan menjadi nilai kasus terburuk - sesuatu yang akan membuat data Anda dapat dibaca dengan chip produksi Senin yang telah berjalan pada suhu maksimum selama 20 tahun lebih atau kurang. Dalam kebanyakan kasus, sel dapat menyimpan data jauh lebih lama.

Selain itu, sirkuit di dalam chip DRAM memutuskan apakah akan membaca jumlah muatan dalam sel yang diberikan sebagai "0" atau "1" (dalam beberapa desain, yang mungkin terbalik - muatan rendah berarti "1"). Isi daya konten yang tidak cukup tinggi untuk dibaca sebagai "1" masih di dalam sel - dan dalam beberapa kasus, dengan menjalankan chip DRAM dengan tegangan operasi yang tidak sesuai spesifikasi (yang mungkin menekankannya, atau membuatnya lebih lambat) , tetapi belum akan menghancurkannya), tegangan ambang di mana 1 diputuskan dari 0 dapat dimanipulasi sementara, sehingga beberapa atau semua sel menjadi dapat dibaca lagi.

Juga, kecuali sebenarnya ada register keluaran, mungkin ada perbedaan tegangan atau bentuk gelombang yang halus bahkan dalam sinyal keluaran yang dikuantisasi (beralih ke 1 atau 0) yang dapat memberi Anda petunjuk tentang muatan apa yang sebenarnya ada dalam sel - pembanding (yang berbunyi amplifier jarang) quantizers sempurna, terutama jika mereka dibangun untuk kecepatan tidak presisi.

Juga, jika sel membaca tidak dapat dipercaya, penyerang atau forensik yang gigih masih dapat menggunakan statistik untuk keuntungannya (menghitung berapa kali 0 atau 1 dibaca, dan berkorelasi) ...

pemeras dan prajurit
sumber