最初的问题:计算机死机时如何提取计算机内存数据。根据要求,我已将我的问题从该主题中删除,并发布在这里。
这文章是一篇关于使用“冷启动”攻击恢复加密密钥的教程。它基于该文章中链接的几个参考资料。其中一个来自普林斯顿大学,另一个Hak5网站。它们都基于普林斯顿大学的一项发现,即 RAM 的内容不会立即消失。断电后,即使从主板上卸下 RAM 模块,它们也可以在室温下持续数秒到数分钟,冻结后持续更长时间。普林斯顿大学的论文提到了通过这种方法获取可用的全系统内存映像的可能性。第一个链接是指从前一次启动中恢复 8 到 16GB 的数据,这可能是“冻结”的 PC 上的任何数据,或者如上一个问题中提到的“死锁” PC 上的任何数据。
看起来至少在理论上,使用这种方法可以从冻结的系统中恢复 RAM 内容,方法是将 RAM 移植到另一台计算机或使用第一个链接中描述的 USB 工具,结果显然会有所不同。但这是一种在家使用的“首选”(首选)方法吗?这比其他方法(如 DMA)更实用还是更不实用?预计成功的可能性会更高还是更低?这是首先尝试的方法还是只能作为最后的手段,还是取决于 DMA 方法所需的设备和软件的可用性?这个问题是从不熟悉这两种方法的人的角度提出的。