- Katılım
- 4 Ara 2010
- Mesajlar
- 471
- Tepkime puanı
- 10
- Puanları
- 18
- Yaş
- 59
The method of collecting passwords from the memory of a turned off computer is described.
08/14/2012 |
Forensic experts from the Information Security and Incident Response Unit at the University of Thracian, together with a colleague from the Faculty of Applied Informatics at the University of Thessaloniki, published an interesting scientific paper (pdf) that shows the possibility of extracting information from the operational memory of a personal computer, if it was turned off, but not disconnected from the power supply network.
The authors of the work emphasize that the recovery of information from RAM is often used in modern forensics, because in RAM you can find registry fragments, encryption keys and other valuable data, but experts only work with the computer turned on. However, it is necessary to carry out the procedure for copying RAM when sealing not only turned on computers, but also turned off, according to the authors of the scientific work. Sealing RAM for further data recovery can be done by freezing.
The reason is that due to the design limitations of modern RAM memory modules, data bits can be restored within a few minutes after turning off the computer.
Interestingly, information from RAM is more difficult to recover if the computer remains turned on and continues to work. In this case, important sections of RAM can be overwritten with new data, and then the desired information will be lost with a greater degree of probability. Therefore, a confiscated computer cannot be loaded until the memory is copied. For this you need to use a specially prepared liveCD.
Using the described method, the researchers checked the likelihood of recovering passwords from Facebook, Skype, Gmail, and MSN from the memory of a computer that was turned off, provided that the computer turned off immediately after closing the program, after 5 minutes, after 15 minutes, and after 60 minutes. The results of the experiment are shown in the diagram.
https://www.bezpeka.com/en/news/2012/08/ ... sting.html (from here you can download and the work itself is true in English)
08/14/2012 |
Forensic experts from the Information Security and Incident Response Unit at the University of Thracian, together with a colleague from the Faculty of Applied Informatics at the University of Thessaloniki, published an interesting scientific paper (pdf) that shows the possibility of extracting information from the operational memory of a personal computer, if it was turned off, but not disconnected from the power supply network.
The authors of the work emphasize that the recovery of information from RAM is often used in modern forensics, because in RAM you can find registry fragments, encryption keys and other valuable data, but experts only work with the computer turned on. However, it is necessary to carry out the procedure for copying RAM when sealing not only turned on computers, but also turned off, according to the authors of the scientific work. Sealing RAM for further data recovery can be done by freezing.
The reason is that due to the design limitations of modern RAM memory modules, data bits can be restored within a few minutes after turning off the computer.
Interestingly, information from RAM is more difficult to recover if the computer remains turned on and continues to work. In this case, important sections of RAM can be overwritten with new data, and then the desired information will be lost with a greater degree of probability. Therefore, a confiscated computer cannot be loaded until the memory is copied. For this you need to use a specially prepared liveCD.
Using the described method, the researchers checked the likelihood of recovering passwords from Facebook, Skype, Gmail, and MSN from the memory of a computer that was turned off, provided that the computer turned off immediately after closing the program, after 5 minutes, after 15 minutes, and after 60 minutes. The results of the experiment are shown in the diagram.
https://www.bezpeka.com/en/news/2012/08/ ... sting.html (from here you can download and the work itself is true in English)
Original message
Описан метод сбора паролей из памяти выключенного компьютера
14.08.2012 |
Эксперты-криминалисты из отдела информационной безопасности и реагирования на инциденты (Information Security and Incident Response Unit) при Фракийском университете, совместно с коллегой с факультета прикладной информатики университета Македонии в Салониках опубликовали любопытную научную работу (pdf), в которой показывают возможность извлечения информации из оперативной памяти персонального компьютера, если он был выключен, но не отсоединён от сети электропитания.
Авторы работы подчёркивают, что восстановление информации из ОЗУ часто применяется в современной криминалистике, потому что в ОЗУ можно найти фрагменты реестра, ключи шифрования и другие ценные данные, но при этом эксперты работают только с включенным компьютером. Однако, необходимо осуществлять процедуру копирования ОЗУ при опечатывании не только включенных компьютеров, но и выключенных, считают авторы научной работы. Опечатывание RAM для дальнейшего восстановления данных можно осуществить методом заморозки.
Причина в том, что из-за конструктивных ограничений современных модулей памяти RAM, биты данных можно восстановить в течение нескольких минут после отключения компьютера.
Интересно, что информацию из оперативной памяти сложнее восстановить, если компьютер остался включённым и продолжает работать. В этом случае важные участки ОЗУ могут быть перезаписаны новыми данными, и тогда искомая информация будет потеряна с большей степенью вероятности. Поэтому конфискованный компьютер нельзя загружать, пока память не скопирована. Для этого нужно использовать специально подготовленный liveCD.
С помощью описанного метода исследователи проверили, какова вероятность восстановления из памяти выключенного компьютера паролей от Facebook, Skype, Gmail и MSN при условии, что компьютер выключается сразу после закрытия программы, через 5 минут, через 15 минут и через 60 минут. Результаты эксперимента показаны на диаграмме.
https://www.bezpeka.com/ru/news/2012/08/ ... sting.html (отсюда можно скачать и саму работуб правда на английском языке)
14.08.2012 |
Эксперты-криминалисты из отдела информационной безопасности и реагирования на инциденты (Information Security and Incident Response Unit) при Фракийском университете, совместно с коллегой с факультета прикладной информатики университета Македонии в Салониках опубликовали любопытную научную работу (pdf), в которой показывают возможность извлечения информации из оперативной памяти персонального компьютера, если он был выключен, но не отсоединён от сети электропитания.
Авторы работы подчёркивают, что восстановление информации из ОЗУ часто применяется в современной криминалистике, потому что в ОЗУ можно найти фрагменты реестра, ключи шифрования и другие ценные данные, но при этом эксперты работают только с включенным компьютером. Однако, необходимо осуществлять процедуру копирования ОЗУ при опечатывании не только включенных компьютеров, но и выключенных, считают авторы научной работы. Опечатывание RAM для дальнейшего восстановления данных можно осуществить методом заморозки.
Причина в том, что из-за конструктивных ограничений современных модулей памяти RAM, биты данных можно восстановить в течение нескольких минут после отключения компьютера.
Интересно, что информацию из оперативной памяти сложнее восстановить, если компьютер остался включённым и продолжает работать. В этом случае важные участки ОЗУ могут быть перезаписаны новыми данными, и тогда искомая информация будет потеряна с большей степенью вероятности. Поэтому конфискованный компьютер нельзя загружать, пока память не скопирована. Для этого нужно использовать специально подготовленный liveCD.
С помощью описанного метода исследователи проверили, какова вероятность восстановления из памяти выключенного компьютера паролей от Facebook, Skype, Gmail и MSN при условии, что компьютер выключается сразу после закрытия программы, через 5 минут, через 15 минут и через 60 минут. Результаты эксперимента показаны на диаграмме.
https://www.bezpeka.com/ru/news/2012/08/ ... sting.html (отсюда можно скачать и саму работуб правда на английском языке)
