استعادة البيانات من ذاكرة الوصول العشوائي بعد تعطل - 💡 Fix My Ideas

استعادة البيانات من ذاكرة الوصول العشوائي بعد تعطل

استعادة البيانات من ذاكرة الوصول العشوائي بعد تعطل


مؤلف: Ethan Holmes, 2019

بعد اختراق مفتاح استرداد مفتاح التشفير في برنامج Princeton ، تعرّفت على الأشياء المفيدة الأخرى التي قد تكون موجودة في الذاكرة. من الأخبار القديمة أن كلمات مرور المستخدمين الذين قاموا بتسجيل الدخول تتدفق هناك ، ولكن ماذا عن شيء أكثر فائدة للمستخدم اليومي؟ ماذا عن هذا الملف الذي كنت تقوم بتحريره قبل إغلاق نافذته عن طريق الخطأ دون حفظ؟

في Linux و PPC Macs ، يمكن للمستخدم الجذر الوصول إلى ذاكرة الوصول العشوائي للجهاز من خلال الجهاز / dev / mem. لست متأكدًا من سبب عدم توفر هذا على أجهزة Intel Macs الأحدث - إنه لاعب صغير.

من الناحية النظرية ، إذا كنت تعالج بعض الكلمات ، أو تنشر الأوراق ، أو تنشر إدخال مدونة وتعطل البرنامج ، فمن المحتمل أن تظل البيانات التي كنت تقوم بتحريرها في ذاكرة الوصول العشوائي ، دون أن تتضرر ، في انتظار تخصيصها لعملية أخرى. إذا قمت على الفور بتفريغ محتويات ذاكرة الوصول العشوائي (RAM) بالكامل على القرص قبل بدء عملية كبيرة أخرى ، فمن المحتمل أن تتمكن من العثور على بياناتك مرة أخرى. إنه أمر صعب - الكتابة عن ذاكرة الوصول العشوائي إلى القرص تتطلب بدء عملية واحدة على الأقل ، مثل dd. من المحتمل أن هذه العملية الجديدة ، أو أي عملية أخرى قيد التشغيل حاليًا ، يمكن أن تخصص الذاكرة وتمحو ملفك. ليس لديك بالفعل خيارات أخرى ، لذلك يمكنك تجربة شيء مثل هذا:

dd if = / dev / mem of = / tmp / ramdumpstrings / tmp / ramdump | grep "بعض النصوص في ملفك"

لقد وجدت منشورًا لديفيد كيش حيث يصف هذه العملية تمامًا. كان قادرا على استخدامه لاستعادة النص بنجاح من جلسة قتل السادس:

لقد اختبرت ذلك عن طريق بدء vi والكتابة في "thisisanabsolutelyuniquetestring" ، مما أدى إلى مقتل عملية vi دون حفظ الملف وتشغيل الأمر أعلاه فورًا مع تعديل بسيط. بدلاً من توجيه الإخراج إلى ملف ، قمت بنقله إلى grep thisisanabsolutelyuniquetest. وجد أمر grep نفسه ، كما هو الحال دائمًا ، ولكنه عثر أيضًا على السلسلة الأصلية ، والتي تم تحديدها بواسطة باقي السلسلة الفريدة التي لم أدرجها في أمر grep. عليك أن تكون حذرا عند البحث من خلال الذاكرة قيد التشغيل. أتذكر الآن وجود هذه المشكلة مع جهاز Mac طوال تلك السنوات الماضية. كلما بحثت عن أجزاء من خطاب أخي ، كنت في النهاية أجد جزء الذاكرة الذي يحتوي على سلسلة البحث.

يذكر أيضًا مسح قسم المبادلة ، وهو أيضًا مكان محتمل للعثور على بياناتك. إنها نفس العملية ، لكنك استبدلت / dev / mem بـ / dev / hda2 أو أيا كان قسم المقايضة.

إليك الجزء الممتع. استنادًا إلى ما نعرفه الآن حول DRAM الذي يحتفظ بالبيانات حتى بعد ثوانٍ قليلة من عدم كفاءته ، قد تتمكن من استخدام الطريقة لاستعادة بيانات البرنامج بعد تعطل النظام بالكامل وإعادة التشغيل. ستكون بيانات المقايضة موجودة بالتأكيد ، ولكن إذا قمت بإعادة التشغيل في وضع مستخدم واحد دون بدء تشغيل X أو أي تطبيقات كبيرة ، فستظل هناك إمكانية أن تظل المناطق غير المخصصة من / dev / mem تحتوي على بيانات من قبل إعادة التشغيل.

كيفية استرداد البيانات الخاصة بك بعد وقوع حادث - رابط استخراج مفاتيح التشفير بعد التمهيد البارد - لينك



قد تكون مهتمة

تحلق الروبوتات! مهرجان الفيلم بدون طيار يسلط الضوء على روح صانع

تحلق الروبوتات! مهرجان الفيلم بدون طيار يسلط الضوء على روح صانع


وفرة في المشروعات العملاقة في Maker Faire Kansas City 2015

وفرة في المشروعات العملاقة في Maker Faire Kansas City 2015


قم بجولة عبر الفيديو في برنامج Maker Faire لأول 10 سنوات

قم بجولة عبر الفيديو في برنامج Maker Faire لأول 10 سنوات


8 FPV Drone Racing Videos التي تضعك في مقعد الطيار

8 FPV Drone Racing Videos التي تضعك في مقعد الطيار