Ανάκτηση δεδομένων από μνήμη RAM μετά από συντριβή - 💡 Fix My Ideas

Ανάκτηση δεδομένων από μνήμη RAM μετά από συντριβή

Ανάκτηση δεδομένων από μνήμη RAM μετά από συντριβή


Συγγραφέας: Ethan Holmes, 2019

Μετά την αποκατάσταση του κλειδιού αποκατάστασης κλειδιού κρυπτογράφησης του Princeton από το Princeton, πήρα να σκεφτώ τι άλλα χρήσιμα πράγματα μπορεί να βρίσκονται στη μνήμη. Είναι παλιά η είδηση ​​ότι οι κωδικοί πρόσβασης των συνδεδεμένων χρηστών κρέμονται εκεί έξω, αλλά τι γίνεται με κάτι πιο χρήσιμο για τον καθημερινό χρήστη; Τι γίνεται με το αρχείο που επεξεργάζεστε προτού κλείσετε τυχαία το παράθυρό του χωρίς να αποθηκεύσετε;

Στο Linux και στο Mac PPC, ο χρήστης root μπορεί να έχει πρόσβαση στο ram του μηχανήματος μέσω της / dev / mem συσκευής. Δεν είμαι σίγουρος γιατί αυτό δεν είναι διαθέσιμο σε νεότερους επεξεργαστές της Intel Macs.

Θεωρητικά, εάν επεξεργάζεστε κάποιες λέξεις, διανέμουν φύλλα ή δημοσιεύετε μια καταχώρηση ιστολογίου και το πρόγραμμα σας καταρρέει, είναι πιθανό τα δεδομένα που επεξεργάζεστε να παραμένουν σε μνήμη RAM, χωρίς βλάβη, που περιμένουν να διατεθούν σε άλλη διαδικασία. Εάν αφαιρέσετε αμέσως ολόκληρο το περιεχόμενο της μνήμης RAM στο δίσκο πριν ξεκινήσετε μια άλλη μεγάλη διαδικασία, είναι πιθανό ότι μπορείτε να βρείτε τα δεδομένα σας ξανά. Είναι όμως δύσκολο να γράψετε ότι η μνήμη RAM στο δίσκο απαιτεί να ξεκινήσετε τουλάχιστον μία διαδικασία, όπως το dd. Είναι πιθανό ότι αυτή η νέα διαδικασία ή μια άλλη διαδικασία που εκτελείται αυτή τη στιγμή θα μπορούσε να διαθέσει μνήμη και να διαγράψει το αρχείο σας. Ωστόσο, δεν έχετε άλλες επιλογές, ώστε να δοκιμάσετε κάτι τέτοιο:

dd αν = / dev / mem από = / tmp / ramdumpstrings / tmp / ramdump | grep "κάποιο κείμενο στο αρχείο σας"

Βρήκα μια θέση του David Keech όπου περιγράφει ακριβώς αυτή τη διαδικασία. Ήταν σε θέση να το χρησιμοποιήσει για να ανακτήσει με επιτυχία το κείμενο από μια συνεδρία θανάτου vi:

Δοκίμασα αυτό ξεκινώντας vi και πληκτρολογώντας "thisisanabsolutelyuniquetestteststring", σκοτώνοντας τη διαδικασία vi χωρίς να αποθηκεύσετε το αρχείο και τρέχοντας αμέσως την εντολή με μια μικρή τροποποίηση. Αντί να διοχετεύσω την έξοδο σε ένα αρχείο, το έχω διαβιβάσει για να γράψω αυτό το αρχείο με πολύ απλό τρόπο. Η εντολή grep βρήκε τον εαυτό της, όπως συμβαίνει πάντα, αλλά βρήκε επίσης την αρχική συμβολοσειρά που αναγνωρίστηκε από την υπόλοιπη μοναδική συμβολοσειρά που δεν συμπεριλάμβανα στην εντολή grep. Πρέπει να είστε προσεκτικοί κατά την αναζήτηση μέσω της τρέχουσας μνήμης. Τώρα θυμάμαι να έχει αυτό το πρόβλημα με τον Mac όλα αυτά τα χρόνια. Κάθε φορά που έψαχνα τμήματα της επιστολής του αδελφού μου, θα καταλήξω να βρίσκω το μέρος της μνήμης που περιείχε τη συμβολοσειρά αναζήτησης.

Αναφέρει επίσης τη σάρωση του διαμερίσματος ανταλλαγής, το οποίο είναι επίσης πιθανό μέρος για την εύρεση των δεδομένων σας. Είναι η ίδια διαδικασία, αλλά μπορείτε να αντικαταστήσετε το / dev / mem με το / dev / hda2 ή οτιδήποτε είναι το partition swap σας.

Εδώ είναι το διασκεδαστικό μέρος. Με βάση αυτό που γνωρίζουμε τώρα σχετικά με τα δεδομένα DRAM που κρατούν ακόμη και λίγα δευτερόλεπτα από τη μη εξουσιοδότησή τους, ίσως να είστε σε θέση να χρησιμοποιήσετε τη μέθοδο για να ανακτήσετε τα δεδομένα προγράμματος μετά από πλήρες σφάλμα συστήματος και επανεκκίνηση. Τα δεδομένα ανταλλαγής θα είναι σίγουρα εκεί, αλλά εάν κάνετε επανεκκίνηση σε λειτουργία ενός χρήστη χωρίς εκκίνηση του X ή οποιωνδήποτε μεγάλων εφαρμογών, υπάρχει η πιθανότητα οι μη κατανεμημένες περιοχές του / dev / mem να εξακολουθούν να περιέχουν δεδομένα πριν από την επανεκκίνηση.

Πώς να ανακτήσετε τα δεδομένα σας μετά από συντριβή - Σύνδεση Εξαγωγή κλειδιών κρυπτογράφησης μετά από μια ψυχρή εκκίνηση - Σύνδεση



Μπορεί Να Σας Ενδιαφέρει

Δημιουργία: Συμπληρωματικά έργα

Δημιουργία: Συμπληρωματικά έργα


Το Σάββατο μιλάει στο Maker Faire του Ντιτρόιτ

Το Σάββατο μιλάει στο Maker Faire του Ντιτρόιτ


Power Racing: Καλλιεργημένοι άνθρωποι γεμισμένοι σε teeny-μικροσκοπικά αυτοκίνητα (που δεν είναι Shriners)

Power Racing: Καλλιεργημένοι άνθρωποι γεμισμένοι σε teeny-μικροσκοπικά αυτοκίνητα (που δεν είναι Shriners)


Κυριακή Schedule για τον Maker Faire Detroit

Κυριακή Schedule για τον Maker Faire Detroit