como as pessoas recuperam dados do ram?

11

Eu só estou curioso. Eu li sobre a aplicação da lei e o que não está recuperando dados incriminadores do ram para obter evidências, mas como isso é feito? Que tipo de equipamento seria necessário para recuperar arquivos de um bastão de memória ram?

memory steini
fonte

Respostas:

10

Congele o chip, coloque-o em outro computador e execute o comando linux dd para copiar os dados brutos no disco.

Depois de obter os dados brutos, copie-os para uma nova partição usando o dd novamente e execute um programa de exclusão na partição. A remoção de exclusão deve retirar todos os arquivos que se enquadram em um formato reconhecível (ex imagens, etc ...). O restante pode ser processado ainda mais, mas não facilmente, a menos que você saiba o que está procurando.

Não posso dizer que fiz isso sozinho, mas não é difícil imaginar como é feito.

Confira este vídeo que Daniel Beck postou nos comentários para ver uma demonstração de como quebrar as criptografias do disco rígido usando esse método.

Evan Plaice
fonte
3
Esse painel contém um link para uma página no site do CITP de Ed Felten com a pesquisa original sobre o assunto.
Daniel Beck
Isso não é "aplicação da lei", é algo que pode ser feito sob condições controladas. Se você tem esse tipo de acesso ao computador (alguns minutos e um pouco de nitrogênio líquido), por que não impedir que ele desligue.
Nifle
@ Nifle Provavelmente, alguém com um interesse substancial em desligar o computador momentos antes de ser preso a uma superfície próxima. Além disso, é uma pesquisa bastante recente, e muito disso não se refere a aplicações práticas imediatas.
Daniel Beck
2
@ Nifle não é verdade. não é preciso nenhuma ferramenta especial para realizar. Um pulverizador de ar pode (para resfriar o chip) e uma instalação mínima do linux que inclui algumas ferramentas necessárias (e disponíveis gratuitamente) em execução em uma unidade USB ou em um computador separado é o suficiente.
quer
1
Mas se você inicializar o computador com a ram, isso não apagará tudo durante o POST?
steini
1

Você não pode (na prática). A RAM precisa ser constantemente atualizada para manter a "lembrança", quando o computador é desligado, a carga vaza após um minuto ou mais.

Formulário wikipedia

A memória dinâmica de acesso aleatório (DRAM) é um tipo de memória de acesso aleatório que armazena cada bit de dados em um capacitor separado dentro de um circuito integrado. Como os capacitores reais vazam a carga, as informações acabam desaparecendo, a menos que a carga do capacitor seja atualizada periodicamente. Devido a esse requisito de atualização, é uma memória dinâmica em oposição à SRAM e outra memória estática.

A memória principal (a "RAM") dos computadores pessoais é a RAM dinâmica (DRAM), assim como a "RAM" dos consoles de jogos domésticos (PlayStation, Xbox 360 e Wii), laptop, notebook e estação de trabalho.

A vantagem da DRAM é sua simplicidade estrutural: somente um transistor e um capacitor são necessários por bit, em comparação com seis transistores na SRAM. Isso permite que a DRAM atinja densidades muito altas. Ao contrário da memória flash, é memória volátil (cf. memória não volátil), pois perde seus dados quando a energia é removida. Os transistores e capacitores usados ​​são extremamente pequenos - milhões podem caber em um único chip de memória.

Nifle
fonte
5
A palavra-chave é "eventualmente". Este artigo de pesquisa citp.princeton.edu/memory mostra que a RAM mantém seu conteúdo por alguns segundos a alguns minutos depois de perder energia, mesmo depois de removida da placa-mãe, que é longa o suficiente para um invasor com acesso físico ao máquina.
jg-faustus
2
@ jg-faustus Se você tem acesso ao computador, por que desligá-lo?
Nifle
5
@ Nifle Se estiver bloqueado, você não verá quais arquivos o usuário está usando no momento. Você pode reiniciá-lo e (se estiver usando o Windows) invadir a senha, mas apenas se a unidade não estiver criptografada. Com as ferramentas certas e um chip ram recém-arrancado, você pode até quebrar a chave de criptografia do disco rígido lendo o ram. Nas áreas de segurança e forense, essas pequenas técnicas podem ser extremamente úteis.
Evan Solha
2
@Evan A fonte do seu comentário .
Daniel Beck
6
@Evan - Ainda acho que são mais "situações normais" às quais o OP se refere. "Os policiais aparecem e levam o seu computador." e não "Segundos depois que você desliga o computador, o DHS invade seu apartamento e, alguns segundos depois, eles desmantelam o computador no laboratório portátil de extração de RAM"
Nifle
0

As células DRAM armazenam cargas elétricas. Eles estão com vazamento, portanto, como foi mencionado, eles precisam ser atualizados.

Existem tolerâncias de fabricação, e a influência da temperatura e da idade do componente, que definirão o tempo REAL que leva para uma célula DRAM deixar de ser legível com confiabilidade se não tiver sido atualizada. A especificação de atualização para um determinado chip DRAM será, na verdade, o pior valor possível - algo que manterá seus dados legíveis com os chips de produção de segunda-feira que estão funcionando na temperatura máxima por 20 anos mais ou menos. Na maioria dos casos, a célula pode manter os dados por muito mais tempo.

Além disso, o circuito dentro de um chip DRAM decide se a quantidade de carga em uma determinada célula deve ser lida como "0" ou "1" (em alguns modelos, que pode ser revertida - carga baixa significa "1"). Carregar conteúdo que não seja alto o suficiente para ser lido como "1" ainda está na célula - e, em alguns casos, executando o chip DRAM com uma tensão operacional fora das especificações (o que pode estressá-lo ou torná-lo muito mais lento) , mas ainda não a destruirá), a tensão limite na qual 1 é decidido entre 0 pode ser manipulada temporariamente, para que algumas ou todas as células se tornem legíveis novamente.

Além disso, a menos que exista realmente um registro de saída, pode haver diferenças sutis de tensão ou forma de onda, mesmo no sinal de saída quantizado (comutado para 1 ou 0) que pode lhe dar uma dica sobre qual carga realmente está na célula - comparadores (que mostram amplificadores são) raramente são quantizadores perfeitos, especialmente se eles são construídos para velocidade, não precisão.

Além disso, se uma célula lê de maneira confiável, um invasor ou forense determinado ainda pode usar as estatísticas para sua vantagem (conte quantas vezes um 0 ou 1 é lido e se correlacione) ...

rackandboneman
fonte