¿Cómo recuperan las personas los datos de RAM?

Tengo curiosidad. He leído sobre la aplicación de la ley y qué no recuperar datos incriminatorios de ram para obtener evidencia, pero ¿cómo se hace? ¿Qué tipo de equipo necesitaría uno para recuperar archivos de un palo de ram?

Congele el chip, introdúzcalo en otra computadora y ejecute el comando dd de Linux para copiar los datos sin procesar en el disco.

Después de tener los datos en bruto, cópielos en una nueva partición usando dd nuevamente y ejecute un programa de recuperación en la partición. Undelete debe extraer todos los archivos que se encuentren en un formato reconocible (por ejemplo, imágenes, etc.). El resto podría procesarse aún más, pero no fácilmente a menos que sepa lo que está buscando.

No puedo decir que lo he hecho yo mismo, pero no es difícil imaginar cómo se hace.

Mira este video que Daniel Beck publicó en los comentarios para ver una demostración de cómo descifrar los cifrados del disco duro con este método.

No puedes (en la práctica). La RAM debe actualizarse constantemente para seguir "recordando", cuando la computadora está apagada, la carga se pierde después de un minuto más o menos.

Formulario wikipedia

La memoria dinámica de acceso aleatorio (DRAM) es un tipo de memoria de acceso aleatorio que almacena cada bit de datos en un condensador separado dentro de un circuito integrado. Dado que los condensadores reales pierden carga, la información finalmente se desvanece a menos que la carga del condensador se actualice periódicamente. Debido a este requisito de actualización, es una memoria dinámica en lugar de SRAM y otra memoria estática.

La memoria principal (la "RAM") en las computadoras personales es la RAM dinámica (DRAM), al igual que la "RAM" de las consolas de juegos domésticos (PlayStation, Xbox 360 y Wii), computadoras portátiles, portátiles y estaciones de trabajo.

La ventaja de DRAM es su simplicidad estructural: solo se requiere un transistor y un condensador por bit, en comparación con seis transistores en SRAM. Esto permite que la DRAM alcance densidades muy altas. A diferencia de la memoria flash, es una memoria volátil (cf. memoria no volátil), ya que pierde sus datos cuando se corta la energía. Los transistores y condensadores utilizados son extremadamente pequeños: millones pueden caber en un solo chip de memoria.

Las células DRAM almacenan cargas eléctricas. Tienen fugas, por lo que, como se mencionó, deben actualizarse.

Existen tolerancias de fabricación, y la influencia de la temperatura y la antigüedad de los componentes, que definirán el tiempo REAL que le toma a una celda DRAM dejar de ser confiable de manera confiable si no se ha actualizado. La especificación de actualización para un chip DRAM dado será en realidad el peor de los casos, algo que mantendrá sus datos legibles con chips de producción de lunes que han estado funcionando a la temperatura máxima durante 20 años más o menos. En la mayoría de los casos, la celda puede mantener los datos mucho más tiempo.

Además, los circuitos dentro de un chip DRAM deciden si leer la cantidad de carga en una celda dada como "0" o "1" (en algunos diseños, eso podría revertirse; carga baja significa "1"). El contenido de carga que no es lo suficientemente alto como para leerse como "1" todavía está en la celda, y en algunos casos, ejecutando el chip DRAM con un voltaje de operación fuera de las especificaciones (lo que podría estresarlo o hacerlo mucho más lento) , pero aún no lo destruirá), el voltaje de umbral en el que 1 se decide desde 0 puede manipularse temporalmente, por lo que algunas o todas las celdas se vuelven legibles nuevamente.

Además, a menos que haya realmente un registro de salida, puede haber diferencias sutiles de voltaje o forma de onda incluso en la señal de salida cuantificada (conmutada a 1 o 0) que puede darle una pista sobre qué carga está realmente en la celda - comparadores (que leen los amplificadores son) rara vez son cuantificadores perfectos, especialmente si están diseñados para la velocidad, no para la precisión.

Además, si una celda lee de manera poco confiable, un atacante o forense determinado aún puede usar las estadísticas para su ventaja (cuente cuántas veces se lee un 0 o 1 y correlacione) ...