Recuperar datos de la memoria RAM después de un bloqueo - 💡 Fix My Ideas

Recuperar datos de la memoria RAM después de un bloqueo

Recuperar datos de la memoria RAM después de un bloqueo


Autor: Ethan Holmes, 2019

Después del truco de recuperación de la clave de cifrado de arranque en frío de Princeton, me puse a pensar en otras cosas útiles que podrían estar en la memoria. Es una vieja noticia que las contraseñas de los usuarios registrados están ahí, pero ¿qué hay de algo más útil para el usuario cotidiano? ¿Qué pasa con el archivo que estaba editando antes de cerrar accidentalmente su ventana sin guardar?

En Linux y en Macs PPC, el usuario root puede acceder al ram del equipo a través del dispositivo / dev / mem. No estoy seguro de por qué esto no está disponible en las Mac Intel más nuevas, es un rollo.

En teoría, si está procesando algunas palabras, distribuyendo hojas o publicando una entrada de blog y su programa se bloquea, es probable que los datos que estaba editando todavía estén en la memoria RAM, sin daños, esperando ser asignados a otro proceso. Si vuelca inmediatamente todo el contenido de la RAM al disco antes de iniciar otro gran proceso, es muy probable que pueda volver a encontrar sus datos. Sin embargo, es complicado: escribir la RAM en el disco requiere que inicies al menos un proceso, como dd. Es posible que este nuevo proceso, u otro proceso que se esté ejecutando actualmente, pueda asignar memoria y borrar su archivo. Sin embargo, realmente no tienes otras opciones, por lo que puedes intentar algo como esto:

dd if = / dev / mem of = / tmp / ramdumpstrings / tmp / ramdump | grep "algo de texto en tu archivo"

Encontré un post de David Keech donde describe exactamente este proceso. Fue capaz de usarlo para recuperar con éxito el texto de una sesión vi eliminada:

Probé esto iniciando vi y escribiendo "thisisanabsolutelyuniqueteststring", eliminando el proceso vi sin guardar el archivo y ejecutando el comando anterior inmediatamente con una pequeña modificación. En lugar de canalizar la salida a un archivo, lo hice para grep thisisanabsolutelyuniquetest. El comando grep se encontró a sí mismo, como siempre, pero también encontró la cadena original, identificada por el resto de la cadena única que no incluí en el comando grep. Tienes que tener cuidado al buscar a través de la memoria de ejecución. Ahora recuerdo haber tenido este problema con la Mac hace tantos años. Cada vez que buscaba partes de la carta de mi hermano, terminaba encontrando la parte de la memoria que contenía la cadena de búsqueda.

También menciona la exploración de la partición de intercambio, que también es un lugar probable para que se encuentren sus datos. Es el mismo proceso, pero reemplaza / dev / mem con / dev / hda2 o cualquiera que sea su partición de intercambio.

Aquí está la parte divertida. En base a lo que ahora sabemos sobre la retención de datos de DRAM, incluso unos pocos segundos de estar sin alimentación, es posible que incluso pueda utilizar el método para recuperar los datos del programa después de un bloqueo completo del sistema y el reinicio. Los datos de intercambio seguramente estarán allí, pero si reinicia en el modo de usuario único sin iniciar X o cualquier aplicación grande, existe la posibilidad de que las áreas no asignadas de / dev / mem aún contengan datos de antes del reinicio.

Cómo recuperar sus datos después de una caída: enlace Extracción de claves de cifrado después de un arranque en frío - Enlace



Puede Que Le Interesen

Exhibiciones de la tienda navideña de Yarnbombed en Old Navy

Exhibiciones de la tienda navideña de Yarnbombed en Old Navy


Dollar Store Hack: Los Juegos del Hambre Gold Collectible Plate

Dollar Store Hack: Los Juegos del Hambre Gold Collectible Plate


Piper: aprendiendo electrónica con Raspberry Pi y Minecraft

Piper: aprendiendo electrónica con Raspberry Pi y Minecraft


Toronto Mini Maker Faire 2014 en imágenes

Toronto Mini Maker Faire 2014 en imágenes