comment les gens récupèrent-ils les données du ram?

Je suis juste curieux. J'ai lu sur l'application de la loi et ce qui ne permet pas de récupérer des données incriminantes à partir de RAM pour obtenir des preuves, mais comment cela se fait-il? De quel type d'équipement aurait-on besoin pour récupérer des fichiers à partir d'un bâton de RAM?

Geler la puce, l'insérer dans un autre ordinateur et exécuter la commande linux dd pour copier les données brutes sur le disque.

Une fois que vous avez les données brutes, copiez-les sur une nouvelle partition à l'aide de dd et exécutez un programme de suppression sur la partition. Undelete devrait extraire tous les fichiers qui tombent sous un format reconnaissable (ex photos, etc ...). Le reste pourrait être traité ultérieurement, mais pas facilement, à moins que vous ne sachiez ce que vous recherchez.

Je ne peux pas dire que je l'ai fait moi-même, mais il n'est pas difficile d'imaginer comment cela se fait.

Regardez cette vidéo que Daniel Beck a publiée dans les commentaires pour voir une démonstration de la façon de pirater les cryptages du disque dur à l'aide de cette méthode.

Vous ne pouvez pas (en pratique). La mémoire RAM doit être constamment actualisée pour garder "souvenir", lorsque l'ordinateur est éteint, la charge fuit après une minute ou deux.

Formulaire wikipedia

La mémoire vive dynamique (DRAM) est un type de mémoire vive qui stocke chaque bit de données dans un condensateur séparé au sein d'un circuit intégré. Étant donné que les condensateurs réels fuient la charge, les informations s'estompent finalement à moins que la charge du condensateur ne soit actualisée périodiquement. En raison de cette exigence de rafraîchissement, il s'agit d'une mémoire dynamique par opposition à SRAM et à une autre mémoire statique.

La mémoire principale (la «RAM») des ordinateurs personnels est la RAM dynamique (DRAM), tout comme la «RAM» des consoles de jeux à domicile (PlayStation, Xbox 360 et Wii), des ordinateurs portables, des ordinateurs portables et des postes de travail.

L'avantage de la DRAM est sa simplicité structurelle: un seul transistor et un condensateur sont nécessaires par bit, contre six transistors en SRAM. Cela permet à la DRAM d'atteindre des densités très élevées. Contrairement à la mémoire flash, il s'agit d'une mémoire volatile (cf. mémoire non volatile), car elle perd ses données lorsque l'alimentation est coupée. Les transistors et les condensateurs utilisés sont extrêmement petits - des millions peuvent tenir sur une seule puce de mémoire.

Les cellules DRAM stockent les charges électriques. Ils fuient, donc comme cela a été mentionné, ils doivent être rafraîchis.

Il existe des tolérances de fabrication, et l'influence de la température et de l'âge des composants, qui définiront le temps RÉEL qu'il faut pour qu'une cellule DRAM ne soit plus lisible de manière fiable si elle n'a pas été rafraîchie. La spécification de rafraîchissement pour une puce DRAM donnée sera en fait la pire des valeurs - quelque chose qui gardera vos données lisibles avec des puces de production de lundi qui fonctionnent à température maximale depuis 20 ans plus ou moins. Dans la plupart des cas, la cellule peut conserver les données beaucoup plus longtemps.

De plus, le circuit à l'intérieur d'une puce DRAM décide de lire la quantité de charge dans une cellule donnée comme "0" ou "1" (dans certains modèles, cela pourrait être inversé - une charge faible signifie "1"). Le contenu de charge qui n'est pas assez élevé pour être lu comme "1" est toujours dans la cellule - et dans certains cas, en exécutant la puce DRAM avec une tension de fonctionnement hors spécifications (ce qui pourrait la stresser ou la rendre beaucoup plus lente) , mais ne la détruira pas encore), la tension de seuil sur laquelle 1 est décidé à partir de 0 peut être manipulée temporairement, de sorte que certaines ou toutes les cellules redeviennent lisibles.

De plus, à moins qu'il n'y ait réellement un registre de sortie, il peut y avoir de subtiles différences de tension ou de forme d'onde même dans le signal de sortie quantifié (commuté sur 1 ou 0) qui peuvent vous donner un indice sur la charge réelle dans la cellule - comparateurs (qui lisent amplificateurs sont) sont rarement des quantificateurs parfaits, surtout s'ils sont construits pour la vitesse et non la précision.

De plus, si une cellule lit de manière non fiable, un attaquant ou un criminaliste déterminé peut toujours utiliser les statistiques à son avantage (compter combien de fois un 0 ou 1 est lu et corréler) ...