Можно ли извлечь данные из оперативной памяти выключенного компьютера?
В новой исследовательской работе экспертами в области криминалистики рассматриваются возможности извлечения данных из оперативной памяти компьютера в то время, когда он находится в различных неактивных режимах, включая недавнее отключение питания.
Работа представляет интерес в первую очередь для криминалистов и специалистов в области безопасности. Показано, что если во время захвата подозреваемые успевают выключить свои компьютеры и ноутбуки штатными средствами, всё ещё сохраняется техническая возможность восстановить данные из их ОЗУ.
Вопреки распространённому мнению о мгновенном обнулении оперативной памяти, в серии экспериментов удалось получить ценные сведения, сделав её дамп через 5, 15 и 60 секунд после выключения питания компьютера.
Моделировалась типичная ситуация запуска нескольких приложений, работающих с использованием паролей. В частности, браузера Firefox и архиватора WinRAR. При выключении компьютера в снятом без промедления дампе обнаруживались пароли доступа к архивам и популярным веб-сервисам (Facebook, Gmail, Hotmail, etc).
Ведущий автор исследования Христос Георгиадис из Университета Македонии в Салониках поясняет в статье, что, хотя оперативная память по своей природе и является энергозависимой, отключение питания компьютера не приводит к полной потере всех находящихся в ней данных в ту же секунду.
Основную роль в медленном угасании сигнала играют схемы питания, в которых присутствует значительная ёмкостная составляющая. Георгиадис особо подчёркивает, что в компьютерах и особенно мобильной технике под «выключенным» состоянием редко подразумевается полностью обесточенное. Как правило, речь идёт о переходе в один из режимов пониженного энергопотребления, в котором полного прекращения питания всех компонентов не происходит.
Только физическое прерывание цепи (извлечение коннектора питания материнской платы или самих модулей ОЗУ из слотов) приводит к сравнительно быстрой очистке оперативной памяти, резюмируют авторы исследования.
Серия копий одного изображения, восстановленных из дампов оперативной памяти, снятых через 5, 30, 60 и 300 секунд после отключения питания
В то же время в более ранних публикациях Принстонского университета упоминается техника атаки под названием «cold boot». Согласно данной методике, быстрое охлаждение модулей памяти DRAM сразу после их извлечения позволяет «законсервировать» содержащиеся в них данные на срок до нескольких минут, что хорошо видно на иллюстрации.
Доказано: В оперативной памяти могут сохранятся данные даже, когда компьютер выключен
Оперативную память компьютера (RAM) часто называют также и энергозависимой, ведь при выключении компьютера она автоматически «забывает» все данные. В теории. На деле же оказалось, что это отнюдь не так.
Ученый Христос Георгиадис (Christos Georgiadis) из Университета Македонии (University of Macedonia) в Салониках и его коллеги Ставрула Карайяни (Stavroula Karayianni) и Василиос Катос (Vasilios Katos) из Тракийского Университета «Демокрит» (Democritus University of Thrace) экспериментально доказали, что на самом деле многие данные сохраняются в оперативной памяти даже после того, как компьютер был отключен. Правда, при условии, что он не был полностью обесточен. То есть, даже выключение системы оставляет пользователей уязвимыми с точки зрения безопасности и конфиденциальности.
Исследователи проверяли содержимое оперативной памяти через 5, 15 и даже через 60 минут после выключения. И каждый раз у них получалось извлечь достаточно фрагментов данных, чтобы выяснить, что делалось на компьютере и какие пароли вводились в браузере. при входе в GMail, Facebook, Hotmail, Skype, Microsoft Network (MSN), а также при создании или открывании запароленных архивов WinRar.
Учёные предполагают, что такая особенность может помочь экспертам по компьютерной экспертизе получить доступ к личным данным и выяснять, чем пользователь занимался в последние пару часов, даже после того, как отключил систему. Скорость потери данных зависит от типа памяти и от некоторых внешних условий, вроде температуры в помещении. Причем, чем раньше пользователь выключил компьютер после закрытия приложения, тем больше данных сохраниться. Так, пароль может оставаться в памяти даже по прошествии довольно длительного времени после того, как приложение было закрыто.
Тест по «Информатика и ИКТ». Ответы. Часть 5
1. Устройство ввода информации с листа бумаги называется:
- a. Плоттер
- b. Стример
- c. Драйвер
- d. Сканер
Ответ: d
2. В какой системе счисления работает компьютер?
- a. В двоичной
- b. в шестнадцатеричной
- c. в десятичной
- d. все ответы правильные
Ответ: a
3. Драйвер — это:
- a. устройство длительного хранения информации
- b. программа, управляющая конкретным внешним устройством
- c. устройство ввода
- d. устройство вывода
Ответ: b
4. Программа — это:
- a. алгоритм, записанный на языке программирования
- b. набор команд операционной системы компьютера
- c. ориентированный граф, указывающий порядок исполнения команд компьютера
- d. протокол взаимодействия компонентов компьютерной сети
Ответ: a
5. При подключении компьютера к телефонной сети используется:
- a. модем
- b. факс
- c. сканер
- d. принтер
Ответ: a
6. Укажите устройство и для ввода, и для вывода информации.
- a. дигитайзер
- b. Принтер
- c. Жесткий диск
- d. Сканер
Ответ: d
7. Какое устройство ПК предназначено для вывода информации?
- a. Процессор
- b. Монитор
- c. Клавиатура
- d. Сканер
Ответ: b
8. К внешней памяти относятся:
- a. модем, жесткий диск,
- b. сканер, жесткий диск,
- c. жесткий диск, флеш-память,
- d. ОЗУ, флеш-память.
Ответ: c
9. В состав процессора входят:
- a. устройства записи информации, чтения информации
- b. арифметико-логическое устройство, устройство управления
- c. устройства ввода и вывода информации
- d. устройство для чтения информации
Ответ: b
10. Перед отключением компьютера информацию можно сохранить
- a. в оперативной памяти
- b. во внешней памяти
- c. в контроллере магнитного диска
Ответ: b
11. Тип принтеров, при котором изображение создается путем механического давления на бумагу через ленту с красителем —
- a. ударного типа (матричные)
- b. струйные
- c. лазерные
- d. термические
Ответ: a
12. Мониторов не бывает
- a. монохромных
- b. жидкокристаллических
- c. на основе ЭЛТ
- d. инфракрасных
Ответ: d
13. При отключении компьютера вся информация стирается
- a. на CD-ROM диске
- b. в оперативной памяти
- c. на гибком диске
- d. на жестком диске
Ответ: b
14. Дано: а = ЕE16.
Какое из чисел c, записанных снизу в двоичной системе счисления, удовлетворяет неравенству: c>a.
Ответ: c
15. Считая, что каждый символ кодируется одним байтом, определите, чему равен информационный объем в слове: Квадрат
- a. 54 бит
- b. 56 бит
- c. 88 бит
- d. 7 бит
Ответ: b
16. Считая, что каждый символ кодируется 16-ю битами, оцените информационный объем следующей пушкинской фразы в кодировке Unicode, имея в виду 1 пробел между словами:
Привычка свыше нам дана:
Замена счастию она.
- a. 44 бита
- b. 704 бита
- c. 44 байта
- d. 704 байта
Ответ: b
17. Три с половиной терабайта содержат . гигабайт информации
Ответ: b
18. Значение выражения 116 + 108 * 102 в двоичной системе счисления равно:
Ответ: b
19. Для какого символьного выражения верно высказывание:
Первая буква гласная → Третья буква согласная?
- a. abedc
- b. becde
- c. babas
- d. abcab
Ответ: d
20. Дан блок программы:
C = 5
For i = 3 To 5
C = C + 1
Next i
X = C + 5
Значение X в результате работы этого блока?
Ответ: c
21. Строки в рабочей книге MS Excel обозначаются:
- a. римскими цифрами
- b. русскими буквами
- c. латинскими буквами
- d. арабскими цифрами
Ответ: d
22. В ответе укажите номера тех функций, которые относятся к категории статистические:
- a. МИН
- b. МАКС
- c. СУММ
- d. СРЗНАЧ
- e. ЕСЛИ
Ответ: a b d
23. Как обозначается команда присваивания в PascalABC?
Выберите один из вариантов ответа:
Ответ: c
24. Определите значение переменной b после выполнения следующего фрагмента программы, где a и b – вещественные (действительные) переменные:
a := -5;
b := 5 + 7 * a;
b := b / 2 * a;
Ответ: c
25. Для каждой модели из первой колонки определите, к какому типу она относится.
Модель | Тип модели |
1) Закон Ньютона | a) Физическая (натурная) |
2) Игрушечный автомобиль | b) Воображаемая |
3) Объёмная модель куба | c) Информационная |
4) Чертёж развёртки куба | |
5) Программа на языке программирования | |
6) Радиоуправляемая модель самолёта | |
7) Бесконечность |
Ответ: 1c, 2a, 3a, 4c, 5c, 6a, 7b
Всем удачи!
Возможно вам так же будет интересно:
- Бесплатное обновление до Windows 10. Успейте обновиться до конца 2017 года!
- С днём рождения меня! — 26
- Осень – время подвести итоги и планы на будущее. Часть 3
- Принтер HP LaserJet 1200 печатает иероглифами
- Как я отменил штраф за чужое авто (инструкция)
Если я Вам помог — оставьте свой отзыв или поделитесь сайтом с друзьями в социальных сетях!
Смягчающие обстоятельства
Первое, что вы должны сделать, когда система запустится – это проверить, как она работает и что собственно утеряно. Система загружается нормально? Есть ли какие-то предупреждения в процессе загрузки? Запускает ли Windows инструмент для восстановления диска во время загрузки? Скорее всего, система останется работоспособной после отключения электричества. Но в тех редких случаях, когда не будет загружаться системный диск или будут недоступны вторичные устройства хранения информации, для восстановления информации вам понадобится соответствующий инструмент, такой как Hetman Partition Recovery. Но не волнуйтесь, отключение электричества вызывает необратимые физические повреждения носителей информации исключительно редко. Ваши шансы на успешное восстановление большей части данных довольно высоки.
Если ваша система успешно завершила загрузочный цикл (и это предпочтительнее, чем сценарий, который мы описали выше), проверьте, все ли на месте. Утеряно ли что-то с чем вы работали? Был ли это документ, с которым вы работали? Или электронная таблица? Может ли ваш почтовый клиент по-прежнему открывать электронную почту? Скорее всего, те документы, которые не были открыты в момент потери питания, останутся нетронутыми. И наоборот – те файлы, которые были открыты в момент внезапного отключения электричества, будут повреждены или отсутствовать.
Такую ситуацию значительно легче исправить, чем не загружающийся системный диск. Вам даже может не потребоваться продукт такого уровня как Hetman Partition Recovery. Вместо него вы можете использовать любой другой инструмент Hetman Software, в зависимости от типа файла.
Загрузите и установите программу для восстановления файлов на какой-то другой диск, раздел или носитель (например: внешний жесткий диск или USB-накопитель), чтобы не повредить файлы, которые вы намерены восстановить. Просканируйте диск на предмет утерянных или удалённых файлов. Можете указать тип файлов, которые вы ищете. Если это документ Word, вы можете найти последнюю сохранённую версию файла; если она недоступна – вы можете найти и восстановить более старые версии файла. Если вы используете одну из последних версий Microsoft Word, вы можете восстановить файл благодаря возможности его автоматического сохранения. Утилита для восстановления файлов найдёт и восстановит «сейвы», которые программа делала автоматически.
Конечно, если это Hetman Partition Recovery, то она не ограничена только восстановлением документов Word. Она может восстанавливать документы, электронные таблицы, презентации, цифровые изображения, сжатые архивы (*.zip, *.rar и многие другие форматы), базы данных, электронные книги и многие другие типы данных.
Помогла ли вам эта статься? Оставляйте ваши комментарии.
Автор: Michael Miroshnichenko, Технический писатель
Мирошниченко Михаил – одни из ведущих программистов в Hetman Software. Опираясь на пятнадцатилетний опыт разработки программного обеспечения он делится своими знаниями с читателями нашего блога. По мимо программирования Михаил является экспертом в области восстановления данных, файловых систем, устройств хранения данных, RAID массивов. Подробнее
Как узнать, какой тип почтового сервера у меня есть
Существует три основных почтовых сервера, которыми пользуется большинство людей: системная электронная почта, электронная почта POP3 или клиента или сетевая электронная почта. Работаете ли вы дома или хотите проверить .
Когда следует выключать компьютер
Хотя перевод компьютера в режим сна – это самый быстрый способ его выключения и оптимальный способ быстрого возвращения к работе, в следующих случаях все равно нужно завершить работу компьютера.
- При добавлении или модернизации оборудования компьютера, например, устанавливаете память, дисковод, звуковую плату или видеоадаптер. Выключите компьютер и отключите его от источника питания, прежде чем устанавливать оборудование.
- При подключении к компьютеру принтера, монитор, внешний диск или другое оборудование не с помощью USB или порта IEEE 1394. Выключите компьютер перед подключением устройства.
Примечание: Для подключения оборудования с помощью кабеля USB, компьютер выключать не нужно. Большинство новых устройств используют этот кабель.