我只是好奇。我读过关于执法部门的文章,他们不从内存中恢复罪证数据来获取证据,但是这是怎么做到的呢?需要什么样的设备才能从内存条中恢复文件?
答案1
冻结芯片,将其弹出到另一台计算机,然后运行 linux 命令 dd 将原始数据复制到磁盘。
获得原始数据后,再次使用 dd 将其复制到新分区,并在该分区上运行恢复删除程序。恢复删除程序应提取所有可识别格式的文件(例如图片等)。其余文件可以进一步处理,但除非您知道要查找的内容,否则处理起来并不容易。
我不能说我自己做过这个,但不难想象它是如何做到的。
查看这观看 Daniel Beck 在评论中发布的视频,观看如何使用此方法破解硬盘加密的演示。
答案2
你不能(实际上)。RAM 需要不断刷新才能保持“记忆”,当计算机关闭时,电荷会在一分钟左右后泄漏。
来自维基百科
动态随机存取存储器 (DRAM) 是一种随机存取存储器,它将每个数据位存储在集成电路内的单独电容器中。由于实际电容器会泄漏电荷,因此除非定期刷新电容器电荷,否则信息最终会消失。由于这种刷新要求,它是一种动态存储器,与 SRAM 和其他静态存储器不同。
个人计算机中的主存储器(“RAM”)是动态 RAM (DRAM),家用游戏机(PlayStation、Xbox 360 和 Wii)、笔记本电脑、笔记本和工作站计算机的“RAM”也是如此。
DRAM 的优势在于其结构简单:每个比特只需要一个晶体管和一个电容器,而 SRAM 则需要六个晶体管。这使得 DRAM 能够达到非常高的密度。与闪存不同,它是易失性存储器(参见非易失性存储器),因为断电后数据会丢失。使用的晶体管和电容器非常小——一个内存芯片上可以装下数百万个晶体管和电容器。
答案3
DRAM 单元存储电荷。它们存在泄漏,因此如前所述,它们需要刷新。
制造公差、温度和组件使用年限的影响将决定 DRAM 单元在未刷新的情况下无法可靠读取的实际时间。给定 DRAM 芯片的刷新规范实际上是最坏情况值 - 即使用在最高温度下运行了 20 年左右的周一生产的芯片,该值将使您的数据保持可读性。在大多数情况下,单元可以将数据保存更长时间。
此外,DRAM 芯片内部的电路会决定将给定单元中的电荷量读取为“0”还是“1”(在某些设计中,情况可能会相反 - 低电荷表示“1”)。电荷量不足以读取为“1”时,它仍然在单元中 - 在某些情况下,通过以超出规格的工作电压运行 DRAM 芯片(这可能会给芯片带来压力,或使其速度变慢,但不会损坏芯片),可以暂时操纵从 0 到 1 的阈值电压,因此部分或所有单元再次变得可读。
此外,除非实际上存在输出寄存器,否则即使在量化(切换到 1 或 0)的输出信号中也可能存在细微的电压或波形差异,这些差异可以提示您单元中实际的电荷 - 比较器(读取放大器)很少是完美的量化器,特别是如果它们是为了速度而不是精度而构建的。
此外,如果某个单元格读取不可靠,那么坚定的攻击者或取证人员仍然可以利用统计数据来获得优势(计算读取 0 或 1 的次数,并进行关联)...