Получаем слепок оперативной памяти.

Привет друг! Сегодня мы поговорим о слепке оперативной памяти, а именно как снимают слепок, чем он опасен и как от этого защититься.


Вступление

Что происходит, когда на месте преступления обнаруживается работающий компьютер? Обычно следователь просто его выключит. В дальнейшем изучать этот компьютер будет эксперт, а не следователь. Все, что останется «на руках» у эксперта, — это жесткий диск. При таком подходе навсегда утрачивается доступ к огромному количеству улик, безвозвратно исчезающих при выключении питания. Эти улики — данные, хранящиеся в оперативной памяти.

Выключая компьютер, не сняв предварительно слепок оперативной памяти, спецслужбы могут никогда не увидеть последних сообщений, отправленных через социальные сети. Пропадут ключи, с помощью которых могут быть зашифрованы криптоконтейнеры. Если использовался режим «приватности», эксперт никогда не увидит сайтов, открытых в момент выключения питания. Будут безвозвратно утрачены и многие другие данные.

Все, что нужно сделать, чтобы не потерять эти и многие другие улики, — сохранить образ оперативной памяти в файл.


Как снимают слепок?

Слепок снимают очень просто. С помощью специальных программ. Вот например от российской компании «Белкасофт» Live RAM Capturer, не стоит ни копейки, но выполняет всю необходимую работу в режиме ядра.
Если компьютер не запаролен, то просто вставляем флешку и программа копирует все содержимое из оперативной памяти.

Захват слепка оперативной памяти — Belkasoft Live RAM Capturer

 

Если компьютер запаролен и нет доступа к усб порту? Тут тоже все просто.
Подключаются к другому порту, называется он FireWire или i.LINK
Если вдруг нет нужного порта то используют переходники.


Чем опасен слепок?

В оперативной памяти содержатся последние сообщения, полученные и отправленные через социальные сети; комментарии, оставленные на форумах; сообщения, переданные с помощью мессенджеров или с использованием чатов, встроенных в электронные игры. Там можно найти информацию о последних скачанных файлах. В памяти компьютера какое-то время хранятся страницы и изображения с веб-сайтов — даже если в браузере включен режим защиты приватности, отключен кеш и сохранение истории посещений. Кроме того, доступно большое количество системной информации, загруженные ветки реестра, распакованные и расшифрованные версии защищенных программ, информация об открытых сетевых соединениях.

Что можно «добыть» из оперативной памяти

 

Или например, ты используешь холодные кошельки криптовалют, у тебя все хорошо запаролено на компьютере. Если ты думаешь все отлично, установил пароль 150 знаков никто и не откроет.
Если к тебе придут, а компьютер включен и пароль использован, то он будет храниться в оперативной памяти.


Как защититься?

Оперативная память обнуляется при потери питания.
То есть, если к тебе ломятся в квартиру, сразу выключай компьютер. И советую отключить порты FireWire или i.LINK, если не используешь их.

 


Сайт — whiterabbit.ws
Канал — t.me/followthewhiterabbitt
Твиттер — twitter.com/wrabb1tt
Инстаграм — instagram.com/wrabb1tt