Чи можна витягти дані з оперативної пам’яті вимкненого комп’ютера,
У новій дослідницькій роботі експертами у сфері криміналістики розглядаються можливості вилучення даних з оперативної пам'яті комп'ютера тоді, коли він перебуває у різних неактивних режимах, включаючи недавнє відключення живлення.
Робота представляє інтерес насамперед для криміналістів та фахівців у галузі безпеки. Показано, що якщо під час захоплення підозрювані встигають вимкнути свої комп'ютери та ноутбуки штатними засобами, все ще зберігається технічна можливість відновити дані з їхньої ОЗУ.
Всупереч поширеній думці про миттєве обнулення оперативної пам'яті, в серії експериментів вдалося отримати цінні відомості, зробивши її дамп через 5, 15 і 60 секунд після вимкнення живлення комп'ютера.
Моделювалася типова ситуація запуску кількох додатків, які працюють із використанням паролів. Зокрема, браузера Firefox та архіватора WinRAR. При вимиканні комп'ютера в знятому дампі без зволікання виявлялися паролі доступу до архівів і популярних веб-сервісів (Facebook, Gmail, Hotmail, etc).
Основну роль повільному згасанні сигналу грають схеми живлення, у яких присутня значна ємнісна складова. Георгіадіс особливо наголошує, що в комп'ютерах і особливо мобільній техніці під "вимкненим" станом рідко мається на увазі повністю знеструмлене. Як правило, йдеться про перехід в один із режимів зниженого енергоспоживання, в якому повного припинення живлення всіх компонентів не відбувається.
У той же час у ранніхУ публікаціях Прінстонського університету згадується техніка атаки під назвою “cold boot”. Згідно з даною методикою, швидке охолодження модулів пам'яті DRAM відразу після їх вилучення дозволяє "законсервувати" дані, що містяться в них на термін до декількох хвилин, що добре видно на ілюстрації.