Сбор паролей из памяти выключенного компьютера Эксперты-криминалисты из отдела информационной безопасности и реагирования на инциденты (Information Security and Incident Response Unit) при Фракийском университете, совместно с коллегой с факультета прикладной информатики университета Македонии в Салониках опубликовали любопытную научную работу (pdf), в которой показывают возможность извлечения информации из оперативной памяти персонального компьютера, если он был выключен, но не отсоединён от сети электропитания. Авторы работы подчёркивают, что восстановление информации из ОЗУ часто применяется в современной криминалистике, потому что в ОЗУ можно найти фрагменты реестра, ключи шифрования и другие ценные данные, но при этом эксперты работают только с включенным компьютером. Однако, необходимо осуществлять процедуру копирования ОЗУ при опечатывании не только включенных компьютеров, но и выключенных, считают авторы научной работы. Опечатывание RAM для дальнейшего восстановления данных можно осуществить методом заморозки. Причина в том, что из-за конструктивных ограничений современных модулей памяти RAM, биты данных можно восстановить в течение нескольких минут после отключения компьютера. Интересно, что информацию из оперативной памяти сложнее восстановить, если компьютер остался включённым и продолжает работать. В этом случае важные участки ОЗУ могут быть перезаписаны новыми данными, и тогда искомая информация будет потеряна с большей степенью вероятности. Поэтому конфискованный компьютер нельзя загружать, пока память не скопирована. Для этого нужно использовать специально подготовленный liveCD. С помощью описанного метода исследователи проверили, какова вероятность восстановления из памяти выключенного компьютера паролей от Facebook, Skype, Gmail и MSN при условии, что компьютер выключается сразу после закрытия программы, через 5 минут, через 15 минут и через 60 минут. Результаты эксперимента показаны на диаграмме. 13.08.2012 http://www.xakep.ru/post/59142/
быстрый тест биос перед стартом загрузочной области СД диска сотрет нахрен все из ОЗУ биос при тесте памяти пробует писать и читать ОЗУ не пойму, а в чем разница между Facebook, Skype, Gmail и MSN текстовые данные, длина кукисов мб определяет сложность =/ хотя указанно что именно паролей, тут неразбериха
Они анализируют не кукисы, а именно момент входа, т.е. при передаче данных на сервер. Прочитал pdf'ку, тема интересная, нужно будет сделать авто дефрагментатор памяти =) Пример поиска ключей в дампе памяти:
Нда, внезапно сделали великое открытие. 4.5 года назад, если не раньше, впервые заговорили об этом _http://www.pgpru.com/novosti/2008/diskovoeshifrovniemozhetbytjvzlomanoholodnojjperezagruzkojj _http://www.pgpru.com/novosti/2008/javnyeparolivoperativnojjpamjatipovsemestny. Теперь дошло до медленных экспертов реагирования на инциденты Македонии и какой-то страны, о которой я не слышал. Они подумали: на чем бы таком провести исследования, чтобы пипл схавал публикацию? Неужели на криптографических ключах? Нет, конечно, мы будем восстанавливать пароли от контакта, ведь это касается такого большого количества людей. Все сразу осознают важность угрозы их безопасности. Полиция будет врываться к нам домой, замораживать планки азотом, чтобы восстановить наши пароли от контакта. А для наглядности можно выбрать еще пару идентичных сервисов и нарисовать пару идентичных графиков. Главное обогнать Греческих коллег, которые тоже занимаются этой новейшей перспективной проблемой. Прочитал abstracts и посмотрел по диагонали статью - там нет ничего неизвестного до сих, конечно, кроме неверной инструкции в пункте 2.1. Как кто-то выше сказал, тест памяти затрет пароли контакта. В реальности, эти планки втыкают в спец устройства, которые только снимают дамп.