Wie stellen Leute Daten von RAM wieder her?

11

Ich bin nur Neugierig. Ich habe über Strafverfolgung gelesen und was nicht, um belastende Daten von RAM wiederherzustellen, um Beweise zu erhalten, aber wie wird es gemacht? Welche Art von Ausrüstung würde man benötigen, um Dateien von einem RAM-Stick wiederherzustellen?

memory 
Steini
quelle

Antworten:

10

Frieren Sie den Chip ein, stecken Sie ihn in einen anderen Computer und führen Sie den Linux-Befehl dd aus, um die Rohdaten auf die Festplatte zu kopieren.

Nachdem Sie die Rohdaten erhalten haben, kopieren Sie sie erneut mit dd auf eine neue Partition und führen Sie ein Wiederherstellungsprogramm auf der Partition aus. Beim Wiederherstellen sollten alle Dateien herausgezogen werden, die unter ein erkennbares Format fallen (z. B. Bilder usw.). Der Rest könnte weiterverarbeitet werden, aber nicht einfach, es sei denn, Sie wissen, wonach Sie suchen.

Ich kann nicht sagen, dass ich das selbst gemacht habe, aber es ist nicht schwer sich vorzustellen, wie es gemacht wird.

Schauen Sie sich dieses Video an, das Daniel Beck in den Kommentaren gepostet hat, um zu demonstrieren, wie Festplattenverschlüsselungen mit dieser Methode geknackt werden.

Evan Scholle
quelle
3
Dieses Forum enthält einen Link zu einer Seite auf der CITP-Website von Ed Felten mit den Originalrecherchen zu diesem Thema.
Daniel Beck
Dies ist keine "Strafverfolgung", sondern kann unter kontrollierten Bedingungen durchgeführt werden. Wenn Sie auf diese Weise auf den Computer zugreifen können (einige Minuten und etwas flüssiger Stickstoff), können Sie ihn nicht ausschalten.
Nifle
@Nifle Es gibt wahrscheinlich jemanden, der großes Interesse daran hat, seinen Computer auszuschalten, bevor er an eine nahe gelegene Oberfläche geheftet wird. Außerdem handelt es sich um relativ neue Forschungsergebnisse, und vieles davon handelt nicht von unmittelbaren praktischen Anwendungen.
Daniel Beck
2
@Nifle nicht wahr. Es sind keine speziellen Werkzeuge erforderlich, um dies zu erreichen. Eine Luftsprühdose (um den Chip zu kühlen) und eine minimale Linux-Installation, die einige notwendige (und frei verfügbare) Werkzeuge enthält, die auf einem USB-Laufwerk oder einem separaten Computer ausgeführt werden, sind alles, was erforderlich ist.
Evan Plaice
1
Aber wenn Sie den Computer mit dem RAM booten, würde das nicht alles darauf während des POST löschen?
steini
1

Sie können nicht (in der Praxis). Der Arbeitsspeicher muss ständig aktualisiert werden, damit er sich "erinnert". Wenn der Computer ausgeschaltet wird, tritt die Ladung nach etwa einer Minute aus.

Formular Wikipedia

Der dynamische Direktzugriffsspeicher (DRAM) ist eine Art Direktzugriffsspeicher, der jedes Datenbit in einem separaten Kondensator innerhalb einer integrierten Schaltung speichert. Da echte Kondensatoren eine Ladungsleckage aufweisen, verblassen die Informationen schließlich, sofern die Kondensatorladung nicht regelmäßig aktualisiert wird. Aufgrund dieser Aktualisierungsanforderung handelt es sich um einen dynamischen Speicher im Gegensatz zu SRAM und anderen statischen Speichern.

Der Hauptspeicher ("RAM") in PCs ist Dynamic RAM (DRAM), ebenso wie der "RAM" von Heimspielkonsolen (PlayStation, Xbox 360 und Wii), Laptops, Notebooks und Workstation-Computern.

Der Vorteil des DRAM ist seine strukturelle Einfachheit: Im Vergleich zu sechs Transistoren im SRAM sind nur ein Transistor und ein Kondensator pro Bit erforderlich. Dadurch kann DRAM sehr hohe Dichten erreichen. Im Gegensatz zum Flash-Speicher handelt es sich um einen flüchtigen Speicher (vgl. Nichtflüchtigen Speicher), da er seine Daten verliert, wenn die Stromversorgung unterbrochen wird. Die verwendeten Transistoren und Kondensatoren sind extrem klein - Millionen können auf einen einzelnen Speicherchip passen.

Nifle
quelle
5
Das Schlüsselwort lautet "eventuell". Dieses Forschungspapier citp.princeton.edu/memory zeigt, dass RAM seinen Inhalt einige Sekunden bis einige Minuten nach dem Stromausfall beibehält , selbst nachdem es vom Motherboard entfernt wurde, was für einen Angreifer mit physischem Zugriff auf das Netzwerk ausreicht Maschine.
JG-Faustus
2
@ jg-faustus Wenn Sie Zugriff auf den Computer haben, warum sollten Sie ihn ausschalten?
Nifle
5
@Nifle Wenn es gesperrt ist, wird nicht angezeigt, welche Dateien der Benutzer derzeit verwendet. Sie können es neu starten und (wenn Sie Windows verwenden) das Kennwort umgehen, aber nur, wenn das Laufwerk nicht verschlüsselt ist. Mit den richtigen Werkzeugen und einem frisch gezupften RAM-Chip können Sie sogar den Festplattenverschlüsselungsschlüssel knacken, indem Sie den RAM lesen. In den Bereichen Sicherheit und Forensik können diese kleinen Techniken äußerst nützlich sein.
Evan Plaice
2
Daniel Beck
6
@Evan - Ich denke immer noch, dass es mehr "normale Situationen" sind, auf die sich das OP bezieht. "Die Bullen tauchen auf und nehmen Ihren Computer." und nicht "Sekunden nachdem Sie Ihren Computer geschlossen haben, stürmt das DHS Ihre Wohnung und einige Sekunden später wird Ihr Computer in ihrem tragbaren RAM-Extraktionslabor zerlegt"
Nifle
0

DRAM-Zellen speichern elektrische Ladungen. Sie sind undicht, daher müssen sie, wie bereits erwähnt, aufgefrischt werden.

Es gibt Fertigungstoleranzen und den Einfluss von Temperatur und Alter der Komponenten, die die IST-Zeit definieren, die eine DRAM-Zelle benötigt, um nicht mehr zuverlässig lesbar zu sein, wenn sie nicht aktualisiert wurde. Die Aktualisierungsspezifikation für einen bestimmten DRAM-Chip ist tatsächlich ein Worst-Case-Wert - etwas, das Ihre Daten mit Montagsproduktions-Chips lesbar hält, die mehr oder weniger seit 20 Jahren bei maximaler Temperatur laufen. In den meisten Fällen kann die Zelle die Daten viel länger aufbewahren.

Zusätzlich entscheidet die Schaltung in einem DRAM-Chip, ob die Ladungsmenge in einer gegebenen Zelle als "0" oder "1" gelesen werden soll (in einigen Designs kann dies umgekehrt sein - niedrige Ladung bedeutet "1"). Der Ladeinhalt, der nicht hoch genug ist, um als "1" gelesen zu werden, befindet sich noch in der Zelle - und in einigen Fällen, indem der DRAM-Chip mit einer Betriebsspannung betrieben wird, die außerhalb der Spezifikation liegt (was ihn belasten oder weitaus langsamer machen könnte) kann die Schwellenspannung, auf der 1 von 0 entschieden wird, vorübergehend manipuliert werden, so dass einige oder alle Zellen wieder lesbar werden.

Sofern es nicht tatsächlich ein Ausgangsregister gibt, kann es auch im quantisierten (auf 1 oder 0 geschalteten) Ausgangssignal zu geringfügigen Spannungs- oder Wellenformunterschieden kommen, die Ihnen einen Hinweis darauf geben können, welche Ladung tatsächlich in den Zellenkomparatoren (die lesen) vorhanden ist Verstärker sind selten perfekte Quantisierer, insbesondere wenn sie auf Geschwindigkeit und nicht auf Präzision ausgelegt sind.

Wenn eine Zelle unzuverlässig liest, kann ein entschlossener Angreifer oder Forensiker weiterhin Statistiken zu seinem Vorteil nutzen (zählen Sie, wie oft eine 0 oder 1 gelesen wird, und korrelieren Sie) ...

Rackandboneman
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.