崩潰後從RAM恢復數據 - 💡 Fix My Ideas

崩潰後從RAM恢復數據

崩潰後從RAM恢復數據


作者: Ethan Holmes, 2019

普林斯頓的冷啟動加密密鑰恢復破解之後,我開始考慮內存中可能存在的其他有用的東西。這是舊的消息,登錄用戶的密碼在那裡閒逛,但對於日常用戶更有用的東西怎麼辦?在不保存的情況下意外關閉窗口之前,您正在編輯的文件怎麼樣?

在Linux和PPC Mac上,root用戶可以通過/ dev / mem設備訪問機器的ram。我不確定為什麼在較新的英特爾Mac上無法使用它 - 這真是太糟糕了。

理論上,如果您正在處理某些單詞,傳播工作表或發布博客條目並且程序崩潰,那麼您編輯的數據可能仍然在RAM中,沒有受到傷害,等待分配給另一個進程。如果在開始另一個大型進程之前立即將RAM的全部內容轉儲到磁盤,很可能再次找到您的數據。雖然寫RAM到磁盤要求你啟動至少一個進程,比如dd,這很棘手。這個新進程或當前正在運行的另一個進程可能會分配內存並刪除您的文件。但是,你沒有其他選擇,所以你可能會嘗試這樣的事情:

dd if = / dev / mem of = / tmp / ramdumpstrings / tmp / ramdump | grep“文件中的一些文字”

我找到了David Keech的一篇文章,他在這篇文章中描述了這個過程。他能夠使用它成功地從被殺死的vi會話中恢復文本:

我通過啟動vi並輸入“thisisanabsolutelyuniqueteststring”來測試這個,在不保存文件的情況下終止vi進程,並通過一個小的修改立即運行上面的命令。而不是將輸出匯總到一個文件,我把它輸入grep thisisanabsolutelyuniquetest。 grep命令發現它自己一如既往,但它也找到了原始字符串,由我在grep命令中未包含的唯一字符串的其餘部分標識。搜索運行內存時必須小心。我現在記得多年前在Mac上遇到過這個問題。每當我搜索我哥哥的部分信件時,我最終會找到包含搜索字符串的內存部分。

他還提到了掃描交換分區,這也是您找到數據的可能位置。這是相同的過程,但你用/ dev / hda2或者你的交換分區替換/ dev / mem。

這是有趣的部分。基於我們現在所知道的DRAM保持數據甚至幾秒鐘無動力,您甚至可以使用該方法在完全系統崩潰和重新啟動後恢復程序數據。交換數據肯定會存在,但如果您在不啟動X或任何大型應用程序的情況下重新啟動到單用戶模式,則/ dev / mem的未分配區域仍可能包含重新引導之前的數據。

崩潰後如何恢復數據 - 鏈接在冷啟動後提取加密密鑰 - 鏈接



您可能感興趣

機器人專家規則

機器人專家規則


參觀利雅得的女性專用空間TekSpacy

參觀利雅得的女性專用空間TekSpacy


本週提示:沉默漏氣的空氣軟管,女士工作褲和Kenny Rogers規則

本週提示:沉默漏氣的空氣軟管,女士工作褲和Kenny Rogers規則


黑客大提琴適合背包

黑客大提琴適合背包






最近的帖子