Gendan data fra RAM efter et nedbrud - 💡 Fix My Ideas

Gendan data fra RAM efter et nedbrud

Gendan data fra RAM efter et nedbrud


Forfatter: Ethan Holmes, 2019

Efter Princetons koldstart-krypteringsnøgle genopretning hack, jeg nødt til at tænke på, hvilke andre nyttige ting der kunne ligge i hukommelsen. Det er gammelt nyt, at adgangskoder til indloggede brugere hænger derinde, men hvad med noget mere nyttigt for den daglige bruger? Hvad med den fil, du redigerede, før du ved et uheld lukkede vinduet uden at gemme?

I Linux og på PPC Macs kan root-brugeren få adgang til maskinens ram gennem / dev / mem-enheden. Jeg er ikke sikker på, hvorfor dette ikke er tilgængeligt på nyere Intel Macs-det er en bummer.

I teorien, hvis du behandler nogle ord, spredes ark eller sender en blogindgang, og dit program går i stykker, er det sandsynligt, at de data, du redigerede stadigvæk vil være i RAM, uberørt og venter på at blive tildelt til en anden proces. Hvis du straks dumper hele indholdet af RAM til disk inden du starter en anden stor proces, er chancerne gode, du kan finde dine data igen. Det er vanskeligt at skrive, at RAM til disk kræver, at du starter mindst en proces, som f.eks. Dd. Det er muligt, at denne nye proces eller en anden proces, der aktuelt kører, kunne allokere hukommelse og udslette din fil. Du har ikke rigtig andre muligheder, så du kan måske prøve noget som dette:

dd hvis = / dev / mem of = / tmp / ramdumpstrings / tmp / ramdump | grep "nogle tekst i din fil"

Jeg fandt et indlæg af David Keech, hvor han beskriver præcis denne proces. Han kunne bruge den til at genoprette teksten fra en dræbt vi session:

Jeg testede dette ved at starte vi og skrive i "thisisanabsolutelyuniqueteststring" og dræbe vi-processen uden at gemme filen og køre kommandoen ovenfor med det samme med en lille ændring. I stedet for at pipere udgangen til en fil, pipede jeg det til at grebe denne gang. Grep-kommandoen fandt sig som den altid gør, men den fandt også den oprindelige streng, der blev identificeret af resten af ​​den unikke streng, som jeg ikke inkluderede i grep-kommandoen. Du skal være forsigtig, når du søger gennem kørende hukommelse. Jeg husker nu at have dette problem med Mac for alle disse år siden. Når jeg søgte efter dele af min brors brev, ville jeg bare ende med at finde den del af hukommelsen, der indeholdt søgeforbindelsen.

Han nævner også at scanne swap partitionen, hvilket også er et sandsynligt sted for dine data at blive fundet. Det er den samme proces, men du erstatter / dev / mem med / dev / hda2 eller hvad din swap partition er.

Her er den sjove del. Baseret på det, vi nu ved om DRAM-data, selv om nogle få sekunder, er at være ubemandede, kan du endda være i stand til at bruge metoden til at gendanne programdata efter et helt systemkrasch og genstart. Swap data vil sikkert være der, men hvis du genstarter i single user mode uden at starte X eller store applikationer, er der mulighed for at ikke-allokerede områder af / dev / mem stadig indeholder data fra, før genstart.

Sådan genoprettes dine data efter et nedbrud - Link Udpakning af krypteringsnøgler efter en koldstart - Link



Du Kan Være Interesseret

10 Raspberry Pi projekter for at fejre 10 millioner pis

10 Raspberry Pi projekter for at fejre 10 millioner pis


4 underlige fødevarer maskiner, der gør måltider lettere

4 underlige fødevarer maskiner, der gør måltider lettere


Disse Matchbook Robot Sculptures Sæt en Nostalgisk Twist på Sci-Fi

Disse Matchbook Robot Sculptures Sæt en Nostalgisk Twist på Sci-Fi


Math Monday: Kite Geometry tager flyvning

Math Monday: Kite Geometry tager flyvning