Forensics - Il montaggio delle unità nella RAM

1

Da un punto di vista forense del computer. Se qualcuno dovesse montare una partizione nella RAM usando qualcosa come: mount -t tmpfs tmpfs /mnt -o size=1024m

Quanto sarebbe più difficile recuperare i dati salvati lì piuttosto che recuperare i dati salvati e cancellati su un normale disco fisso?

    
posta P0LYmath 11.11.2014 - 03:34
fonte

1 risposta

1

Dipende.

Il kernel può usare i file di swap come backing store per un filesystem tmpfs : se il kernel decide che è necessario scambiare qualcosa per liberare la RAM fisica, i contenuti del filesystem sono candidati per lo swapping, sia per intero che per in parte. Se sei fortunato (o sfortunato), i dati coerenti finiranno nel file di scambio che un investigatore vedrà. Anche se alcune parti del filesystem vengono scambiate, tuttavia, il recupero dei dati sarà difficile: poiché i metadati del filesystem potrebbero non essere presenti ei dati potrebbero essere in ordine casuale, è più simile all'esecuzione di analisi forensi su un dump di memoria che su un filesystem. / p>

Se il computer è ancora in esecuzione con il filesystem montato, potrebbe essere possibile eseguire un attacco DMA per recuperare il contenuto di RAM. In questo caso, forensics sarà facile, soprattutto se lo swapfile può anche essere scaricato, perché l'intera struttura e il contenuto del filesystem sono accessibili.

Se i dati non vengono scambiati e un attacco DMA non è possibile, l'unica opzione è un attacco di avvio a freddo provare a recuperare il contenuto della RAM prima che decada.

    
risposta data 04.12.2014 - 05:02
fonte

Leggi altre domande sui tag