Bize habercilerden veya telefonla ulaşın.

whatsapp telegram viber phone email
+79214188555

The fact that you would not be anonymous would not be a fool!

Демитрий

Private access level
Katılım
12 Ara 2017
Mesajlar
422
Tepkime puanı
451
Puanları
193
Konum
г.Ейск, ул.Коммунистическая, 12/1, офис 308
The fact that you would not be anonymous would not be a fool!

Let's imagine that your PC is absolutely clean, all your files that can lead to a sad outcome are encrypted and hidden in cryptocontainer . And your PC is completely clean, you have deleted all correspondence, you have deleted all the files, the password for the cryptocontainer is in your head, and no one can get it.

But you neglected permanent deletion, since deleted files can be recovered. But in addition to irrevocable deletion, do not forget about the data in RAM.

What happens when a PC gets to an expert for analysis?
All that an expert has is a hard drive, this is the ultimate basis for analysis. But there are also digital clues that are stored in RAM. Turning off the PC, without making a snapshot of the RAM, the expert can lose the latest messages, encryption keys, correspondence, and so on, many data will be irretrievably lost. In this case, the expert will have to work with RAM.

What can be found in RAM?
If you approach the issue comprehensively, then in RAM you can find the following things:
  • Recent posts in social networks
  • Notes of Ghost
  • Messages through chats built into the game.
  • Downloaded files, images from resources, EVEN if the privilege mode is enabled, the cache and history are disabled.
  • Registry branches
  • Downloaded programs and unpacked programs
  • Data on network connections.
  • And the most dangerous is the encryption keys. Which will decrypt your cryptocontainers and gain access to them. Alternatively, Elcomsoft Forensic Disk Decryptor is used.

How is the dump removed?

The dump is removed using a regular USB flash drive, which allows you to contain the contents. There are many analysis tools, both paid and free. It is logical that for paid programs a license costs a lot of money and well-known structures use them. But you can use the regular and free versions, as an option Belkasoft. This software only takes a snapshot of the RAM, for further analysis. The analysis is already taking place in approximately the same scenario, there are also different analysis programs, but you can use the free version from Belkasoft. Most information is destroyed after turning off the PC, but not all!

Most evidence is obtained in this way. Many do not suspect and do not know that in RAM, some information can be stored. Up to correspondence.

There is only one cure, it is necessary to completely dump the RAM dump by using additional software. Simply shutting down the PC will not save you from this. A more comprehensive approach is needed.

As a result, even using permanent deletion and having an absolutely clean PC, your logs are still stored!
 
Original message
О том, что какие вы бы анонимны не были - криминалиста не обманешь!

Давайте представим, что у вас ПК абсолютно чистый, все файлы ваши которые могут привести к печальному исходу, зашифрованы и спрятаны в криптоконтейнере. А ваш ПК совершенно чист, все переписки вы удалили, все файлы вы удалили, пароль от криптоконтейнера у вас в голове, и никто не сможет подобраться.

Но вы пренебрегли безвозвратным удалением, так как удаленные файлы можно восстановить. Но помимо безвозвратного удаления, не стоит забывать про данные в оперативной памяти.

Что происходит, когда ПК попадает к эксперту на анализ?
Все что у эксперта есть это жесткий диск, это конечна основа для анализа. Но так же существуют цифровые улики которые хранятся в ОЗУ. Выключая ПК, при этом не сделав слепок оперативной памяти, эксперт может потерять последние сообщения, ключи шифрования, переписки и так далее, многие данные будут безвозвратно потеряны. В данном случае эксперту придется работать с оперативной памятью.

Что же можно найти, в оперативной памяти?
Если подойди к вопросу комплексно, то в оперативной памяти можно найти следующие вещи:
  • Последние сообщения в соц сетях
  • Записки привнота
  • Сообщения посредством чатов встроенных в игры.
  • Скачанные файлы, изображения с ресурсов, ДАЖЕ если включен режим приваности, отключен кэш и история.
  • Ветки реестра
  • Скачанные программы и распакованные программы
  • Данные о сетевых соединениях.
  • А самое опасное, это ключи шифрования. Которые позволят расшифровать ваши криптоконтейнеры и получить доступ к ним. Как вариант, используется программа Elcomsoft Forensic Disk Decryptor.

Как снимается дамп?

Дамп снимается посредством обычной USB флешки, которая позволит вместить себя содержимое. Есть много утилит для анализа, как платные, так и бесплатные. Логично что у платных программ лицензия стоит очень больших денег и используют их не без известные структуры. Но можно воспользоваться обычной и бесплатной версии, как вариант Belkasoft. Данный софт лишь снимает слепок оперативной памяти, для дальнейшего анализа. Анализ уже происходит примерно по такому же сценарию, так же, есть разные программы для анализа, но можно воспользоваться бесплатной версией от Belkasoft. Большинство информации уничтожается после выключения ПК, но не вся!

Большинство улик добываются именно таким способом. Многие не подозревают и не знают что в оперативной памяти, может хранится какая либо информация. Вплоть до переписок.

Лекарство тут одно, необходимо полностью выгружать дамп оперативной памяти путем дополнительного ПО. Простое выключение ПК, от этого не спасет. Необходим более комплексный подход.

В итоге, даже пользуясь безвозвратным удалением и имея абсолютно чистый ПК, ваши логи - все равно хранятся!
  • Like
Tepkiler: НСК-СБ

root

Yönetici
Full members of NP "MOD"
Katılım
17 Şub 2007
Mesajlar
678
Tepkime puanı
1,026
Puanları
93
All this is so - only the wrong term is used here - " data in RAM "
Let's see how scary it is and whether there is a chance to get around this "curse"
The fact is that the real "Computer RAM" is completely destroyed when it is turned off, since the RAM modules are a set of capacitors that store the values 0 and 1. When the power is turned off, the capacitors are discharged and all one of them disappears, and the information disappears with them .
It concerns memory type DDR (1,2,3,4) SDRAM, etc. AND does not concern Flash memory.
But the computer has a dynamic memory extension (the so-called SWAP (or Russian swap)), it is a file on the hard drive (by default for Windows, drive C: /) and it is called pagefile.sys (by default, it has an amount equal to the amount of RAM + 10% of it) If there is not enough space in the RAM, some of the programs lying in it are transferred to the hard drive, to this file, from where they get as needed. Because programs can only be run in the computer's RAM.
This file will be studied by the forensic scientist described above.
You can disable this file if you have a lot of RAM (32 GB or more), but remember, you should not run many programs at the same time (for example, 10 open pages in a browser at the same time - in fact these are 10 open browsers, each of which has one page open .

You should not disable a swap, but you can delete it every time you turn it off or reboot.

Clearing a swap file on shutdown (Windows)

To enable cleaning of the pagefile.sys file when the operating system shuts down, you must run the secpol.msc command ("Start - Run") in command line mode. In the window that opens, you should find the element "shutdown: cleaning the swap file ...". By double-clicking on it, we set the security parameter to “Enabled” and click the “Apply” button. These actions are shown in the following two figures.

file-podkachki-wind-1.2.jpg

file-podkachki-wind-1.3.jpg


Now when you turn off or restart the swap file will be cleared
The disadvantage is that the time to restart or turn off the computer increases
Time is highly dependent on the speed of the hard drive.
for example, on a fast SSD with a swap of 40 gigabytes, turning off the computer becomes longer by about 2 minutes,
2 minutes the swap is overwritten.

But since this file was stored on a hard disk, the contents of the file when turned off, in principle, can be read.
But this is a completely different story.
 
Original message
Всё это так - только здесь использован не правильный термин - "данные в оперативной памяти"
Давайте разберемся - на сколько это страшно и есть ли шанс обойти это "проклятие"
Дело в том что реальная "Оперативная память компьютера" полностью уничтожается при его выключении, поскольку модули оперативной памяти представляют собой набор конденсаторов хранящих в себе значения 0 и 1. При выключении питания конденсаторы разряжаются и все единички из них пропадают, и информация пропадает вместе с ними.
Это касается памяти типа DDR (1,2,3,4) SDRAM и тп. И не касается Flash памяти.
Но у компьютера есть динамическое расширение памяти (так называемый SWAP (или по русски своп) ), это файл на жестком диске (по умолчании для Windows диск C:/) и называется он pagefile.sys (по умолчанию он имеет объём равный количеству оперативной памяти + 10% от неё) При нехватке места в оперативной памяти, часть лежащих в ней программ переносятся на жесткий диск, в этот файл, откуда достаются по мере необходимости. Поскольку программы могут выполняться только в оперативной памяти компьютера.
Вот этот файл и будет изучать,вышеописанный криминалист.
Отключить этот файл можно, если у вас очень много оперативной памяти (32 Ггб и выше) но стоит помнить, не стоит запускать одновременно много программ (например одновременно открытые 10 страниц в браузере - по факту это 10 отрытых барузеров в каждом из которых открыта одна страница.

Своп отключать не стоит - зато его можно удалять при каждом выключении или перезагрузке.

Очистка своп-файла при завершении работы (Windows)

Для включения очистки файла pagefile.sys при завершении работы операционной системы необходимо в режиме командной строки выполнить команду secpol.msc («Пуск – Выполнить»). В открывшемся окне следует найти элемент «завершение работы: очистка файла подкачки…». Двойным щелчком мыши по нему устанавливаем параметр безопасности в значение «Включён» и нажимаем кнопку «Применить». Эти действия показаны двумя следующими рисунками.

file-podkachki-wind-1.2.jpg

file-podkachki-wind-1.3.jpg


Теперь при выключении или перезагрузке своп файл будет очищаться
Недостаток, увеличивается время перезагрузки или отключения компьютера
Время сильно зависит от быстродействия жесткого диска
например на быстром SSD со свопом 40 гигабайт, выключение компьютера становится дольше на примерно 2 минуты,
2 минуты затирается своп.

Но поскольку этот файл хранился на жеском диске, то содержимое файла при выключении, в принципе можно прочесть.
Но это уже совсем другая история

До нового года осталось