- Mitglied seit
- 04.12.2010
- Beiträge
- 471
- Punkte für Reaktionen
- 10
- Punkte
- 18
- Alter
- 59
Das Verfahren zum Sammeln von Passwörtern aus dem Speicher eines ausgeschalteten Computers wird beschrieben.
14.08.2012 |
Forensische Experten der Abteilung für Informationssicherheit und Reaktion auf Vorfälle an der Universität von Thrakien haben zusammen mit einem Kollegen der Fakultät für Angewandte Informatik an der Universität von Thessaloniki ein interessantes wissenschaftliches Papier (pdf) veröffentlicht, das die Möglichkeit zeigt, Informationen aus dem Betrieb zu extrahieren Speicher eines PCs, wenn dieser ausgeschaltet, aber nicht vom Stromversorgungsnetz getrennt wurde.
Die Autoren der Arbeit betonen, dass die Wiederherstellung von Informationen aus dem RAM in der modernen Forensik häufig verwendet wird, da im RAM Registrierungsfragmente, Verschlüsselungsschlüssel und andere wertvolle Daten zu finden sind, Experten jedoch nur mit eingeschaltetem Computer arbeiten. Es ist jedoch notwendig, das Verfahren zum Kopieren von RAM durchzuführen, wenn das Versiegeln nicht nur eingeschaltete, sondern auch ausgeschaltete Computer versiegelt, sagen die Autoren der wissenschaftlichen Arbeit. Das Versiegeln des RAM für die weitere Datenwiederherstellung kann durch Einfrieren erfolgen.
Der Grund dafür ist, dass aufgrund der Designbeschränkungen moderner RAM-Speichermodule Datenbits innerhalb weniger Minuten nach dem Ausschalten des Computers wiederhergestellt werden können.
Interessanterweise ist es schwieriger, Informationen aus dem RAM wiederherzustellen, wenn der Computer eingeschaltet bleibt und weiterhin funktioniert. In diesem Fall können wichtige RAM-Abschnitte mit neuen Daten überschrieben werden, und dann gehen die gewünschten Informationen mit größerer Wahrscheinlichkeit verloren. Daher kann ein beschlagnahmter Computer erst geladen werden, wenn der Speicher kopiert wurde. Dazu benötigen Sie eine speziell vorbereitete liveCD.
Mit der beschriebenen Methode überprüften die Forscher die Wahrscheinlichkeit, dass Passwörter von Facebook, Skype, Gmail und MSN aus dem Speicher eines ausgeschalteten Computers wiederhergestellt werden, vorausgesetzt, der Computer wurde unmittelbar nach dem Schließen des Programms, nach 5 Minuten, nach 15 Minuten und nach 60 Minuten ausgeschaltet. Die Ergebnisse des Experiments sind im Diagramm dargestellt.
https://www.bezpeka.com/de/news/2012/08/ ... sting.html (von hier können Sie herunterladen und die Arbeit selbst ist in Englisch wahr)
14.08.2012 |
Forensische Experten der Abteilung für Informationssicherheit und Reaktion auf Vorfälle an der Universität von Thrakien haben zusammen mit einem Kollegen der Fakultät für Angewandte Informatik an der Universität von Thessaloniki ein interessantes wissenschaftliches Papier (pdf) veröffentlicht, das die Möglichkeit zeigt, Informationen aus dem Betrieb zu extrahieren Speicher eines PCs, wenn dieser ausgeschaltet, aber nicht vom Stromversorgungsnetz getrennt wurde.
Die Autoren der Arbeit betonen, dass die Wiederherstellung von Informationen aus dem RAM in der modernen Forensik häufig verwendet wird, da im RAM Registrierungsfragmente, Verschlüsselungsschlüssel und andere wertvolle Daten zu finden sind, Experten jedoch nur mit eingeschaltetem Computer arbeiten. Es ist jedoch notwendig, das Verfahren zum Kopieren von RAM durchzuführen, wenn das Versiegeln nicht nur eingeschaltete, sondern auch ausgeschaltete Computer versiegelt, sagen die Autoren der wissenschaftlichen Arbeit. Das Versiegeln des RAM für die weitere Datenwiederherstellung kann durch Einfrieren erfolgen.
Der Grund dafür ist, dass aufgrund der Designbeschränkungen moderner RAM-Speichermodule Datenbits innerhalb weniger Minuten nach dem Ausschalten des Computers wiederhergestellt werden können.
Interessanterweise ist es schwieriger, Informationen aus dem RAM wiederherzustellen, wenn der Computer eingeschaltet bleibt und weiterhin funktioniert. In diesem Fall können wichtige RAM-Abschnitte mit neuen Daten überschrieben werden, und dann gehen die gewünschten Informationen mit größerer Wahrscheinlichkeit verloren. Daher kann ein beschlagnahmter Computer erst geladen werden, wenn der Speicher kopiert wurde. Dazu benötigen Sie eine speziell vorbereitete liveCD.
Mit der beschriebenen Methode überprüften die Forscher die Wahrscheinlichkeit, dass Passwörter von Facebook, Skype, Gmail und MSN aus dem Speicher eines ausgeschalteten Computers wiederhergestellt werden, vorausgesetzt, der Computer wurde unmittelbar nach dem Schließen des Programms, nach 5 Minuten, nach 15 Minuten und nach 60 Minuten ausgeschaltet. Die Ergebnisse des Experiments sind im Diagramm dargestellt.
https://www.bezpeka.com/de/news/2012/08/ ... sting.html (von hier können Sie herunterladen und die Arbeit selbst ist in Englisch wahr)
Original message
Описан метод сбора паролей из памяти выключенного компьютера
14.08.2012 |
Эксперты-криминалисты из отдела информационной безопасности и реагирования на инциденты (Information Security and Incident Response Unit) при Фракийском университете, совместно с коллегой с факультета прикладной информатики университета Македонии в Салониках опубликовали любопытную научную работу (pdf), в которой показывают возможность извлечения информации из оперативной памяти персонального компьютера, если он был выключен, но не отсоединён от сети электропитания.
Авторы работы подчёркивают, что восстановление информации из ОЗУ часто применяется в современной криминалистике, потому что в ОЗУ можно найти фрагменты реестра, ключи шифрования и другие ценные данные, но при этом эксперты работают только с включенным компьютером. Однако, необходимо осуществлять процедуру копирования ОЗУ при опечатывании не только включенных компьютеров, но и выключенных, считают авторы научной работы. Опечатывание RAM для дальнейшего восстановления данных можно осуществить методом заморозки.
Причина в том, что из-за конструктивных ограничений современных модулей памяти RAM, биты данных можно восстановить в течение нескольких минут после отключения компьютера.
Интересно, что информацию из оперативной памяти сложнее восстановить, если компьютер остался включённым и продолжает работать. В этом случае важные участки ОЗУ могут быть перезаписаны новыми данными, и тогда искомая информация будет потеряна с большей степенью вероятности. Поэтому конфискованный компьютер нельзя загружать, пока память не скопирована. Для этого нужно использовать специально подготовленный liveCD.
С помощью описанного метода исследователи проверили, какова вероятность восстановления из памяти выключенного компьютера паролей от Facebook, Skype, Gmail и MSN при условии, что компьютер выключается сразу после закрытия программы, через 5 минут, через 15 минут и через 60 минут. Результаты эксперимента показаны на диаграмме.
https://www.bezpeka.com/ru/news/2012/08/ ... sting.html (отсюда можно скачать и саму работуб правда на английском языке)
14.08.2012 |
Эксперты-криминалисты из отдела информационной безопасности и реагирования на инциденты (Information Security and Incident Response Unit) при Фракийском университете, совместно с коллегой с факультета прикладной информатики университета Македонии в Салониках опубликовали любопытную научную работу (pdf), в которой показывают возможность извлечения информации из оперативной памяти персонального компьютера, если он был выключен, но не отсоединён от сети электропитания.
Авторы работы подчёркивают, что восстановление информации из ОЗУ часто применяется в современной криминалистике, потому что в ОЗУ можно найти фрагменты реестра, ключи шифрования и другие ценные данные, но при этом эксперты работают только с включенным компьютером. Однако, необходимо осуществлять процедуру копирования ОЗУ при опечатывании не только включенных компьютеров, но и выключенных, считают авторы научной работы. Опечатывание RAM для дальнейшего восстановления данных можно осуществить методом заморозки.
Причина в том, что из-за конструктивных ограничений современных модулей памяти RAM, биты данных можно восстановить в течение нескольких минут после отключения компьютера.
Интересно, что информацию из оперативной памяти сложнее восстановить, если компьютер остался включённым и продолжает работать. В этом случае важные участки ОЗУ могут быть перезаписаны новыми данными, и тогда искомая информация будет потеряна с большей степенью вероятности. Поэтому конфискованный компьютер нельзя загружать, пока память не скопирована. Для этого нужно использовать специально подготовленный liveCD.
С помощью описанного метода исследователи проверили, какова вероятность восстановления из памяти выключенного компьютера паролей от Facebook, Skype, Gmail и MSN при условии, что компьютер выключается сразу после закрытия программы, через 5 минут, через 15 минут и через 60 минут. Результаты эксперимента показаны на диаграмме.
https://www.bezpeka.com/ru/news/2012/08/ ... sting.html (отсюда можно скачать и саму работуб правда на английском языке)
