Jeffrey Cross
Jeffrey Cross

Po nesreči obnovite podatke iz RAM-a

Po Princetonovem okrepljenem ključu za šifriranje ključev za šifriranje sem začel razmišljati o tem, katere druge koristne stvari lahko ležijo v spominu. Stara novica je, da gesla prijavljenih uporabnikov visijo tam zunaj, toda kaj o tem, kar je bolj uporabno za vsakodnevne uporabnike? Kaj pa tista datoteka, ki ste jo urejali, preden ste pomotoma zaprli okno brez shranjevanja?

V Linuxu in na PPC Macih lahko root uporabnik dostopa do pomnilnika naprave prek naprave / dev / mem. Ne vem, zakaj to ni na voljo pri novejših Intel Macih - to je nerodno.

Teoretično, če obdelujete nekaj besed, širite liste ali objavljate vnos v spletni dnevnik in program zruši, je verjetno, da bodo podatki, ki ste jih urejali, še vedno v RAM-u, nepoškodovani in čakajo, da bodo dodeljeni drugemu postopku. Če takoj pred začetkom drugega obsežnega procesa iztisnete celotno vsebino RAM-a na disk, so dobre možnosti, da boste lahko ponovno našli svoje podatke. Vendar je težavno - pisati, da RAM na disk zahteva, da zaženete vsaj en proces, kot je dd. Možno je, da bi ta novi proces ali drug postopek, ki se trenutno izvaja, lahko dodelil pomnilnik in izbrisal vašo datoteko. Res pa ne morete imeti drugih možnosti, zato lahko poskusite nekaj takega:

dd če je = / dev / mem od = / tmp / ramdumpstrings / tmp / ramdump | grep "nekaj besedila v datoteki"

Našel sem delovno mesto Davida Keecha, kjer opisuje točno ta proces. Uspešno ga je uporabil za uspešno obnovitev besedila iz ubite seje vi:

To sem preizkusil tako, da sem zagnal vi in ​​vtipkal »thisisanabsolutelyuniqueteststring«, pri čemer sem uničil proces vi, ne da bi shranil datoteko in takoj zagnal ukaz z majhno spremembo. Namesto, da bi izpis pošiljali v datoteko, sem ga prenašal na grep thisisanabsolutno najlepše. Ukaz grep se je našel, kot vedno, vendar je našel tudi prvotni niz, ki ga je identificiral preostali edinstveni niz, ki ga nisem vključil v ukaz grep. Pri iskanju skozi pomnilnik, ki se izvaja, morate biti previdni.Zdaj se spomnim, da sem imel te težave z Macom vse tiste pred leti. Kadarkoli sem iskal dele bratovega pisma, bi na koncu našel tisti del spomina, ki je vseboval iskalni niz.

Prav tako omenja skeniranje swap particije, ki je prav tako verjeten kraj za iskanje vaših podatkov. To je isti postopek, vendar zamenjate / dev / mem z / dev / hda2 ali karkoli je vaša swap particija.

Tukaj je zabaven del. Glede na to, kar zdaj vemo o podatkih o zadržanju DRAM-a, celo nekaj sekund po tem, ko ni bilo moč, lahko celo uporabite metodo za obnovitev podatkov programa po popolnem zrušenju sistema in ponovnem zagonu. Podatki o izmenjavi bodo zagotovo prisotni, če pa ponovno zaženete v en uporabniški način brez zagona X ali večjih aplikacij, obstaja možnost, da bodo nedodeljena območja / dev / mem še vedno vsebovala podatke pred ponovnim zagonom.

Kako obnoviti podatke po nesreči - Link Extracting šifrirni ključi po hladnem zagonu - Link

Delež

Pustite Komentar