jak ludzie odzyskują dane z pamięci RAM?

Jestem po prostu ciekawy. Czytałem o egzekwowaniu prawa i czym nie jest odzyskiwanie obciążających danych z pamięci RAM, aby uzyskać dowody, ale jak to się robi? Jakiego sprzętu trzeba by odzyskać pliki z pendrive'a?

Zatrzymaj czip, włóż go do innego komputera i uruchom polecenie Linux dd, aby skopiować surowe dane na dysk.

Po uzyskaniu nieprzetworzonych danych skopiuj je na nową partycję, używając ponownie polecenia dd, i uruchom na tej stronie przywracanie programu. Cofnij usunięcie plików, które mają rozpoznawalny format (np. Zdjęcia itp.). Resztę można dalej przetwarzać, ale niełatwo, chyba że wiesz, czego szukasz.

Nie mogę powiedzieć, że sam to zrobiłem, ale nietrudno wyobrazić sobie, jak to się robi.

Sprawdź ten film, który Daniel Beck pisał w komentarzach, aby zobaczyć pokaz jak złamać szyfrowanie dysków twardych przy użyciu tej metody.

Nie możesz (w praktyce). Pamięć RAM musi być stale odświeżana, aby „zapamiętywać”, gdy komputer jest wyłączony, ładunek wycieka po około minucie.

Utwórz wikipedię

Dynamiczna pamięć o swobodnym dostępie (DRAM) to rodzaj pamięci o swobodnym dostępie, która przechowuje każdy bit danych w osobnym kondensatorze w układzie scalonym. Ponieważ rzeczywisty ładunek kondensatora przecieka, informacja ostatecznie zanika, chyba że ładunek kondensatora jest okresowo odświeżany. Z powodu tego wymogu odświeżania jest to pamięć dynamiczna, w przeciwieństwie do SRAM i innych pamięci statycznych.

Główną pamięcią („RAM”) w komputerach osobistych jest Dynamic RAM (DRAM), podobnie jak „RAM” domowych konsol do gier (PlayStation, Xbox 360 i Wii), laptopów, notebooków i stacji roboczych.

Zaletą DRAM jest jego strukturalna prostota: wymagany jest tylko jeden tranzystor i kondensator na bit, w porównaniu do sześciu tranzystorów w SRAM. Pozwala to DRAM osiągnąć bardzo wysoką gęstość. W przeciwieństwie do pamięci flash jest to pamięć ulotna (por. Pamięć nieulotna), ponieważ traci dane po odłączeniu zasilania. Zastosowane tranzystory i kondensatory są bardzo małe - miliony mogą zmieścić się w jednym układzie pamięci.

Ogniwa DRAM przechowują ładunki elektryczne. Są nieszczelne, więc jak wspomniano, należy je odświeżyć.

Istnieją tolerancje produkcyjne oraz wpływ temperatury i wieku komponentów, które określą RZECZYWISTY czas potrzebny na to, aby ogniwo DRAM nie było już niezawodnie czytelne, jeśli nie zostało odświeżone. Specyfikacja odświeżania dla danego układu DRAM będzie w rzeczywistości najgorszym przypadkiem - coś, co sprawi, że twoje dane będą czytelne dzięki chipom produkcyjnym w poniedziałek, działającym w maksymalnej temperaturze przez 20 lat mniej więcej. W większości przypadków komórka może przechowywać dane znacznie dłużej.

Ponadto zespół obwodów wewnątrz układu DRAM decyduje, czy odczytać ilość ładunku w danym ogniwie jako „0” czy „1” (w niektórych konstrukcjach może to być odwrócone - niski ładunek oznacza „1”). Naładowana zawartość, która nie jest wystarczająco wysoka, aby można ją było odczytać jako „1”, wciąż znajduje się w komórce - a w niektórych przypadkach, uruchamiając układ DRAM o napięciu roboczym niezgodnym ze specyfikacją (co może go obciążać lub spowalniać znacznie wolniej) , ale jeszcze go nie zniszczy), napięcie progowe, na podstawie którego wybierana jest wartość 0, można tymczasowo zmienić, tak aby niektóre lub wszystkie komórki stały się ponownie czytelne.

Ponadto, chyba że faktycznie istnieje rejestr wyjściowy, mogą występować subtelne różnice napięcia lub kształtu fali nawet w kwantowanym (przełączonym na 1 lub 0) sygnale wyjściowym, który może podpowiedzieć, jaki ładunek faktycznie znajduje się w komórce - komparatory (które czytają wzmacniacze) są rzadko doskonałymi kwantyzatorami, szczególnie jeśli są zbudowane z myślą o szybkości, a nie precyzji.

Ponadto, jeśli komórka odczytuje niewiarygodnie, zdeterminowany atakujący lub kryminalista może nadal wykorzystywać statystyki na swoją korzyść (policz, ile razy odczytano 0 lub 1 i skoreluj) ...