як люди відновлюють дані з оперативної пам’яті?

Мені просто цікаво. Я читав про правоохоронні органи та про те, що не відновлює звинувачувальні дані з оперативної пам'яті, щоб отримати докази, але як це робиться? Яке обладнання потрібно було б для відновлення файлів з палиці оперативної пам’яті?

Заморожіть чіп, вставте його на інший комп'ютер і запустіть команду linux dd, щоб скопіювати необроблені дані на диск.

Після того, як у вас з’являться необроблені дані, скопіюйте їх у новий розділ, використовуючи dd ще раз та запустіть відновлену програму на розділі. Для видалення слід витягнути будь-які файли, що підпадають під розпізнаваний формат (колишні фотографії тощо). Решту можна далі обробити, але не легко, якщо ви не знаєте, що шукаєте.

Я не можу сказати, що я це робив сам, але важко уявити, як це робиться.

Перегляньте це відео, яке Даніель Бек розмістив у коментарях, щоб побачити демонстрацію того, як зламати жорсткі диски за допомогою цього методу.

Ви не можете (на практиці). Оперативну пам’ять потрібно постійно оновлювати, щоб "запам'ятати", коли комп'ютер вимкнено, заряд витікає через хвилину або близько того.

Форма вікіпедії

Динамічна пам'ять з випадковим доступом (DRAM) - це тип пам'яті з випадковим доступом, який зберігає кожен біт даних в окремому конденсаторі всередині інтегральної схеми. Оскільки реальні конденсатори просочуються зарядом, інформація з часом згасає, якщо заряд конденсатора періодично не оновлюється. Через цю вимогу оновлення це динамічна пам'ять на відміну від SRAM та іншої статичної пам'яті.

Основна пам'ять ("ОЗУ") в персональних комп'ютерах - це динамічна оперативна пам'ять (DRAM), а також "оперативна пам'ять" домашніх ігрових консолей (PlayStation, Xbox 360 і Wii), ноутбуків, ноутбуків і робочих станцій.

Перевагою DRAM є її структурна простота: потрібен лише один транзистор і конденсатор на біт, порівняно з шістьма транзисторами в SRAM. Це дозволяє DRAM досягти дуже високої щільності. На відміну від флеш-пам’яті, це енергонезалежна пам’ять (пор. Енергонезалежну пам’ять), оскільки вона втрачає свої дані при відключенні живлення. Використовуваних транзисторів і конденсаторів надзвичайно мало - мільйони можуть вміщуватися на одному мікросхемі пам'яті.

Осередки DRAM зберігають електричні заряди. Вони негерметичні, тому, як було сказано, їх потрібно оновити.

Існують виробничі допуски та вплив температури та віку компонентів, які визначатимуть АКТУАЛЬНИЙ час, який потрібен, щоб комірка DRAM не була надійно читаною, якщо вона не була оновлена. Специфікація оновлення для даного чіпа DRAM насправді буде найгіршим випадковим значенням - те, що дозволить читати ваші дані за допомогою мікросхем, що виробляються в понеділок, які працюють на максимальній температурі протягом 20 і більше років. У більшості випадків клітина може зберігати дані набагато довше.

Крім того, схема всередині мікросхема DRAM вирішує, чи слід читати кількість заряду в даній комірці як "0" або "1" (у деяких конструкціях це може бути зворотним - низький заряд означає "1"). Заряджайте вміст, який недостатньо високий, щоб читати як "1", все ще знаходиться в комірці, а в деяких випадках, запускаючи мікросхема DRAM з непомірною робочою напругою (що може підкреслити його або зробити його набагато повільніше , але ще не зруйнує його), пороговою напругою, на яку 1 вирішено з 0, можна тимчасово керувати, тому деякі чи всі комірки знову читаються.

Крім того, якщо насправді не існує регістра виходу, можуть бути незначні різниці напруги або хвилі навіть у квантованому (переключеному на 1 або 0) вихідному сигналі, який може дати вам підказку, яка зарядка насправді знаходиться в комірці - компаратори (які читають підсилювачі є) рідко є ідеальними кванторами, особливо якщо вони побудовані для швидкості не точності.

Крім того, якщо клітина читає ненадійно, визначений зловмисник або криміналіст все ще може використовувати статистику на свою користь (порахуйте, скільки разів читається 0 або 1, і співвідносити) ...