- Inscrit
- 4 Déc. 2010
- messages
- 471
- Score de réaction
- 10
- Points
- 18
- Age
- 59
- Localisation
- Литва, Вильнюс +370 61354565
La méthode de collecte des mots de passe de la mémoire d'un ordinateur éteint est décrite.
14/08/2012 |
Des experts en médecine légale de l'Unité de sécurité de l'information et de réponse aux incidents de l'Université de Thrace, ainsi qu'un collègue de la Faculté d'Informatique Appliquée de l'Université de Macédoine à Thessalonique, ont publié un curieux article scientifique (pdf) qui a montré la possibilité d'extraire des informations de l'exploitation mémoire d'un ordinateur personnel, s'il était éteint, mais pas déconnecté du réseau d'alimentation.
Les auteurs de l'ouvrage soulignent que la récupération d'informations à partir de la RAM est souvent utilisée dans la criminalistique moderne, car dans la RAM, vous pouvez trouver des fragments de registre, des clés de chiffrement et d'autres données précieuses, mais les experts ne travaillent qu'avec l'ordinateur allumé. Cependant, il est nécessaire d'effectuer la procédure de copie de la RAM lors du scellement non seulement des ordinateurs allumés, mais également des éteints, selon les auteurs des travaux scientifiques. Le scellage de la RAM pour une récupération ultérieure des données peut être effectué par gel.
La raison en est qu'en raison des limites de conception des modules de mémoire RAM modernes, les bits de données peuvent être restaurés en quelques minutes après la mise hors tension de l'ordinateur.
Fait intéressant, les informations provenant de la RAM sont plus difficiles à récupérer si l'ordinateur reste allumé et continue de fonctionner. Dans ce cas, des sections importantes de la RAM peuvent être écrasées par de nouvelles données, puis les informations souhaitées seront perdues avec un plus grand degré de probabilité. Par conséquent, un ordinateur confisqué ne peut pas être chargé tant que la mémoire n'est pas copiée. Pour cela, vous devez utiliser un liveCD spécialement préparé.
En utilisant la méthode décrite, les chercheurs ont vérifié la probabilité de récupérer les mots de passe de Facebook, Skype, Gmail et MSN de la mémoire d'un ordinateur éteint, à condition que l'ordinateur s'éteigne immédiatement après la fermeture du programme, après 5 minutes, après 15 minutes et après 60 minutes. Les résultats de l'expérience sont présentés dans le diagramme.
https://www.bezpeka.com/en/news/2012/08/ ... sting.html (à partir d'ici, vous pouvez télécharger et le travail lui-même est vrai en anglais)
14/08/2012 |
Des experts en médecine légale de l'Unité de sécurité de l'information et de réponse aux incidents de l'Université de Thrace, ainsi qu'un collègue de la Faculté d'Informatique Appliquée de l'Université de Macédoine à Thessalonique, ont publié un curieux article scientifique (pdf) qui a montré la possibilité d'extraire des informations de l'exploitation mémoire d'un ordinateur personnel, s'il était éteint, mais pas déconnecté du réseau d'alimentation.
Les auteurs de l'ouvrage soulignent que la récupération d'informations à partir de la RAM est souvent utilisée dans la criminalistique moderne, car dans la RAM, vous pouvez trouver des fragments de registre, des clés de chiffrement et d'autres données précieuses, mais les experts ne travaillent qu'avec l'ordinateur allumé. Cependant, il est nécessaire d'effectuer la procédure de copie de la RAM lors du scellement non seulement des ordinateurs allumés, mais également des éteints, selon les auteurs des travaux scientifiques. Le scellage de la RAM pour une récupération ultérieure des données peut être effectué par gel.
La raison en est qu'en raison des limites de conception des modules de mémoire RAM modernes, les bits de données peuvent être restaurés en quelques minutes après la mise hors tension de l'ordinateur.
Fait intéressant, les informations provenant de la RAM sont plus difficiles à récupérer si l'ordinateur reste allumé et continue de fonctionner. Dans ce cas, des sections importantes de la RAM peuvent être écrasées par de nouvelles données, puis les informations souhaitées seront perdues avec un plus grand degré de probabilité. Par conséquent, un ordinateur confisqué ne peut pas être chargé tant que la mémoire n'est pas copiée. Pour cela, vous devez utiliser un liveCD spécialement préparé.
En utilisant la méthode décrite, les chercheurs ont vérifié la probabilité de récupérer les mots de passe de Facebook, Skype, Gmail et MSN de la mémoire d'un ordinateur éteint, à condition que l'ordinateur s'éteigne immédiatement après la fermeture du programme, après 5 minutes, après 15 minutes et après 60 minutes. Les résultats de l'expérience sont présentés dans le diagramme.
https://www.bezpeka.com/en/news/2012/08/ ... sting.html (à partir d'ici, vous pouvez télécharger et le travail lui-même est vrai en anglais)
Original message
Описан метод сбора паролей из памяти выключенного компьютера
14.08.2012 |
Эксперты-криминалисты из отдела информационной безопасности и реагирования на инциденты (Information Security and Incident Response Unit) при Фракийском университете, совместно с коллегой с факультета прикладной информатики университета Македонии в Салониках опубликовали любопытную научную работу (pdf), в которой показывают возможность извлечения информации из оперативной памяти персонального компьютера, если он был выключен, но не отсоединён от сети электропитания.
Авторы работы подчёркивают, что восстановление информации из ОЗУ часто применяется в современной криминалистике, потому что в ОЗУ можно найти фрагменты реестра, ключи шифрования и другие ценные данные, но при этом эксперты работают только с включенным компьютером. Однако, необходимо осуществлять процедуру копирования ОЗУ при опечатывании не только включенных компьютеров, но и выключенных, считают авторы научной работы. Опечатывание RAM для дальнейшего восстановления данных можно осуществить методом заморозки.
Причина в том, что из-за конструктивных ограничений современных модулей памяти RAM, биты данных можно восстановить в течение нескольких минут после отключения компьютера.
Интересно, что информацию из оперативной памяти сложнее восстановить, если компьютер остался включённым и продолжает работать. В этом случае важные участки ОЗУ могут быть перезаписаны новыми данными, и тогда искомая информация будет потеряна с большей степенью вероятности. Поэтому конфискованный компьютер нельзя загружать, пока память не скопирована. Для этого нужно использовать специально подготовленный liveCD.
С помощью описанного метода исследователи проверили, какова вероятность восстановления из памяти выключенного компьютера паролей от Facebook, Skype, Gmail и MSN при условии, что компьютер выключается сразу после закрытия программы, через 5 минут, через 15 минут и через 60 минут. Результаты эксперимента показаны на диаграмме.
https://www.bezpeka.com/ru/news/2012/08/ ... sting.html (отсюда можно скачать и саму работуб правда на английском языке)
14.08.2012 |
Эксперты-криминалисты из отдела информационной безопасности и реагирования на инциденты (Information Security and Incident Response Unit) при Фракийском университете, совместно с коллегой с факультета прикладной информатики университета Македонии в Салониках опубликовали любопытную научную работу (pdf), в которой показывают возможность извлечения информации из оперативной памяти персонального компьютера, если он был выключен, но не отсоединён от сети электропитания.
Авторы работы подчёркивают, что восстановление информации из ОЗУ часто применяется в современной криминалистике, потому что в ОЗУ можно найти фрагменты реестра, ключи шифрования и другие ценные данные, но при этом эксперты работают только с включенным компьютером. Однако, необходимо осуществлять процедуру копирования ОЗУ при опечатывании не только включенных компьютеров, но и выключенных, считают авторы научной работы. Опечатывание RAM для дальнейшего восстановления данных можно осуществить методом заморозки.
Причина в том, что из-за конструктивных ограничений современных модулей памяти RAM, биты данных можно восстановить в течение нескольких минут после отключения компьютера.
Интересно, что информацию из оперативной памяти сложнее восстановить, если компьютер остался включённым и продолжает работать. В этом случае важные участки ОЗУ могут быть перезаписаны новыми данными, и тогда искомая информация будет потеряна с большей степенью вероятности. Поэтому конфискованный компьютер нельзя загружать, пока память не скопирована. Для этого нужно использовать специально подготовленный liveCD.
С помощью описанного метода исследователи проверили, какова вероятность восстановления из памяти выключенного компьютера паролей от Facebook, Skype, Gmail и MSN при условии, что компьютер выключается сразу после закрытия программы, через 5 минут, через 15 минут и через 60 минут. Результаты эксперимента показаны на диаграмме.
https://www.bezpeka.com/ru/news/2012/08/ ... sting.html (отсюда можно скачать и саму работуб правда на английском языке)
