Можно ли извлечь данные из оперативной памяти выключенного компьютера?

В новой исследовательской работе специалистами в области криминалистики рассматриваются возможности извлечения данных из оперативной памяти компьютера в то время, в то время, когда он находится в разных неактивных режимах, включая недавнее отключение питания.

Работа воображает интерес первым делом для специалистов и криминалистов в области безопасности. Продемонстрировано, что в случае, если на протяжении захвата подозреваемые успевают отключить ноутбуки и свои компьютеры штатными средствами, всё ещё сохраняется техвозможность вернуть эти из их ОЗУ.

Вопреки распространённому точке зрения о мгновенном обнулении оперативной памяти, в серии опытов удалось взять полезные сведения, сделав её дамп через 5, 15 и 60 секунд по окончании выключения питания компьютера.

Моделировалась обычная обстановка запуска нескольких приложений, трудящихся с применением паролей. В частности, браузера Firefox и архиватора WinRAR. При выключении компьютера в снятом без промедления дампе обнаруживались пароли доступа к архивам и популярным веб-сервисам (Facebook, Gmail, Hotmail, etc).

Ведущий создатель изучения Христос Георгиадис из Университета Македонии в Салониках поясняет в статье, что, не смотря на то, что оперативная память по собственной природе и есть энергозависимой, отключение питания компьютера не ведет к полной утрата всех находящихся в ней данных в ту же секунду.

Главную роль в медленном угасании сигнала играются схемы питания, в которых присутствует большая ёмкостная составляющая. Георгиадис очень подчёркивает, что в компьютерах и особенно мобильной технике под “отключённым” состоянием редко подразумевается абсолютно обесточенное. В большинстве случаев, речь заходит о переходе в один из режимов пониженного энергопотребления, в котором полного прекращения питания всех компонентов не происходит.

Лишь физическое прерывание цепи (извлечение коннектора питания материнской платы либо самих модулей ОЗУ из слотов) ведет к относительно стремительной очистке оперативной памяти, резюмируют авторы изучения.

Можно ли извлечь данные из оперативной памяти выключенного компьютера?

Серия копий одного изображения, восстановленных из дампов оперативной памяти, снятых через 5, 30, 60 и 300 секунд по окончании отключения питания

Одновременно с этим в более ранних публикациях Принстонского университета упоминается техника атаки называющиеся “cold boot”. В соответствии с данной методике, стремительное охлаждение модулей памяти DRAM сразу после их извлечения разрешает “законсервировать” содержащиеся в них эти на срок до нескольких мин., что отлично видно на иллюстрации.

Случайное видео:


Интересные записи: