Можно ли извлечь данные из оперативной памяти выключенного компьютера?
В новой исследовательской работе экспертами в области криминалистики рассматриваются возможности извлечения данных из оперативной памяти компьютера в то время, когда он находится в различных неактивных режимах, включая недавнее отключение питания.
Работа представляет интерес в первую очередь для криминалистов и специалистов в области безопасности. Показано, что если во время захвата подозреваемые успевают выключить свои компьютеры и ноутбуки штатными средствами, всё ещё сохраняется техническая возможность восстановить данные из их ОЗУ.
Вопреки распространённому мнению о мгновенном обнулении оперативной памяти, в серии экспериментов удалось получить ценные сведения, сделав её дамп через 5, 15 и 60 секунд после выключения питания компьютера.
Моделировалась типичная ситуация запуска нескольких приложений, работающих с использованием паролей. В частности, браузера Firefox и архиватора WinRAR. При выключении компьютера в снятом без промедления дампе обнаруживались пароли доступа к архивам и популярным веб-сервисам (Facebook, Gmail, Hotmail, etc).
Ведущий автор исследования Христос Георгиадис из Университета Македонии в Салониках поясняет в статье, что, хотя оперативная память по своей природе и является энергозависимой, отключение питания компьютера не приводит к полной потере всех находящихся в ней данных в ту же секунду.
Основную роль в медленном угасании сигнала играют схемы питания, в которых присутствует значительная ёмкостная составляющая. Георгиадис особо подчёркивает, что в компьютерах и особенно мобильной технике под «выключенным» состоянием редко подразумевается полностью обесточенное. Как правило, речь идёт о переходе в один из режимов пониженного энергопотребления, в котором полного прекращения питания всех компонентов не происходит.
Только физическое прерывание цепи (извлечение коннектора питания материнской платы или самих модулей ОЗУ из слотов) приводит к сравнительно быстрой очистке оперативной памяти, резюмируют авторы исследования.
Серия копий одного изображения, восстановленных из дампов оперативной памяти, снятых через 5, 30, 60 и 300 секунд после отключения питания
В то же время в более ранних публикациях Принстонского университета упоминается техника атаки под названием «cold boot». Согласно данной методике, быстрое охлаждение модулей памяти DRAM сразу после их извлечения позволяет «законсервировать» содержащиеся в них данные на срок до нескольких минут, что хорошо видно на иллюстрации.
Как восстановить документ, который не был сохранен
При работе за компьютером от неожиданностей не застрахован никто. Компьютер может неожиданно выключиться или начать перезагрузку. Причины тому могут быть разные: отключение электроэнергии, случайное нажатие кнопки выключения или перезагрузки, и другие. Документы, с которыми вы работали, в этом случае не сохраняются. Но их можно восстановить. Покажем, как это сделать на примере Microsoft Office Word.
- Как восстановить документ, который не был сохранен
- Как восстановить несохраненный файл Excel
- Как восстановить удаленный документ Word
Слева вы увидите окошко «Восстановление документов» с подписью «Word восстановил следующие файлы. Сохраните требуемые». Вам будут предложены доступные файлы.
Что хранится в Пзу когда компьютер выключен?
Как правило, в ПЗУ хранится основная программа компьютера. . Обычно ПЗУ содержит короткую программу для загрузки короткой операционной системы (operation system), когда компьютер выключен, а иногда и всю операционную систему.
Программа для работы с буфером обмена
Существует несколько приложений, которые предназначены для управления временным хранилищем. Нужны они в том случае, если человек часто работает с текстом. Ведь такие программы позволяют доставать текстовые фрагменты, которые были скопированы ранее. К папкам и файлам это не относится.
Подобных программ существует несколько, но я использую бесплатную Punto Switcher от Яндекса. Ее основная задача — автоматически менять раскладку клавиатуры, когда пользователь об этом забыл.
Например, я печатаю какой-то текст и вдруг замечаю, что забыл поменять язык на русский — всё набирается английскими буквами. Вот Punto Switcher не допускает таких ситуаций. Программа сама автоматически меняет раскладку и «переводит» текст.
Так вот кроме смены раскладки это приложение обладает массой других полезных функций. В том числе помогает работать с буфером обмена — сохраняет его и позволяет доставать фрагменты текста, которые были скопированы в разное время.
Установка Punto Switcher
Для начала, проверьте, может, она уже есть на компьютере. Для этого посмотрите на панель задач — в нижнюю правую часть экрана. Если вместе со значком алфавита или вместо него есть вот такая иконка, значит, программа у вас уже установлена.
Иконка есть? Отлично! Тогда щелкните по ней правой кнопкой мышки, чтобы точно убедиться, что это именно Punto Switcher.
Если такую программу вы у себя не находите, нужно скачать ее с официального сайта по ссылке. Затем открыть файл и установить приложение. Организовать это просто: запускаете скачанный файл, со всем соглашаетесь и нажимаете «Далее». Единственное, программа предложит добавить на компьютер разные Яндексовские штучки. Если вам это не надо, снимите все галочки.
После установки на панели задач (справа) появится вот такая иконка:
Или такая, если выбран английский алфавит:
Теперь программа будет запускаться каждый раз при загрузке компьютера и всё время следить за тем, что и как вы печатаете.
Работа в Punto Switcher
Программа может сохранять до 30 текстовых фрагментов, к которым у вас всегда будет доступ через историю. Также Punto Switcher позволяет транслитерировать фрагменты в буфере обмена и сохранять его даже после перезагрузки системы. Но для всего этого необходимо сделать кое-какие настройки.
- Заходим в настройки. Для этого кликаем два раза левой кнопкой мыши по значку в трее и во вкладке «Общие» выбираем пункт «Дополнительные».
- Ставим галочку там, где пункт «Следить за буфером обмена», и еще на «Сохранять историю буфера обмена после перезагрузки Windows» (если это, конечно, вам нужно). После чего нажимаем «ОК».
Теперь текстовые фрагменты, которые вы копируете, будут сохраняться в программе. И любой из них можно будет оттуда достать. Для этого нужно щелкнуть правой кнопкой мыши по иконке Punto Switcher, после чего выбрать пункт «Буфер обмена» и «Посмотреть историю».
Щелкаем по тому кусочку, который нужен, и он копируется. После чего его останется только вставить.
Какими клавишами можно скопировать текст
Копирование и вставку можно делать не только через правую кнопку мыши. Для этого служит и сочетание клавиш клавиатуры Ctrl + С и Ctrl + V.
Принцип следующий: выделяем то, что нужно скопировать, зажимаем клавишу Ctrl и затем нажимаем на клавишу С. Переходим туда, куда эту информацию нужно поместить, зажимаем Ctrl и V (русскую М).
Как отключить «Если вы выключите компьютер, вы и другие люди которые используют его, могут потерять несохраненные данные»
После этих действий вы больше не будете получать уведомлений о потере несохранённых данных при выключении или перезагрузке компьютера с экрана блокировки (если ПК был заблокирован во время работы – вручную клавишами WIN + L, или автоматически перешёл в спящий режим, то данное предупреждение будет отображаться).
Обратите внимание, что из-за отключение вышеуказанной опции перестанет корректно работать Windows: интересное (изображения перестанут меняться).
Если проблема всё-таки осталась…
- Если вы поставили новую батарейку, и после выключения компьютера сбивается дата и время так же, как и было раньше, то возможно вы приобрели аккумулятор с не той маркировкой.
- Если после замены батарейки проблема не решилась, то обратите внимание на полярность питания – возможно, вы её просто не правильно поставили и плюс приходится на минус. Тогда нужно просто перевернуть её.
- Если замена батарейки не помогает, то может быть, контакты на материнской плате засорились. Выньте аккумулятор, протрите контакты на плате ватой со спиртом, и будьте при этом аккуратны.
- Если всё это сделано, и всё равно ничего не работает, то проблема в материнской плате. Нужно нести в ремонт.
Похожие статьи:
Некоторые люди полагают, что для офисного компьютера, на котором используются, в основном, приложения от Microsoft,…
Некоторые люди полагают, что для офисного компьютера, на котором используются, в основном, приложения от Microsoft,…
Некоторые люди полагают, что для офисного компьютера, на котором используются, в основном, приложения от Microsoft,…