Слепок оперативной памяти

Начнем с того, что разберемся, что можно вытащить из такого вот слепка. Сам слепок это копия оперативной памяти. Что же хранится в оперативной памяти?

Очень много вещей, которые могут являться доказательствами против тебя. Например, если у тебя есть зашифрованный контейнер TrueCrypt и ты надеешься что всё, что там находится под защитой длинного пароля останется невскрытым, то ты ошибаешься. Ведь если к тебе придут и комп будет включен, а контейнер открыт, то пароль от него будет хранится в оперативной памяти.

Также там хранятся переписки в мессенджерах, информация о последних скачанных файлах, история посещения, включая изображения с посещенных страниц, даже если в браузере отключено сохранение кэша и истории посещений и/или включен режим приватности. Ещё в оперативной памяти хранится большое количество системной информации и информация об открытых сетевых соединениях.

Как снимают такой слепок?

При помощи специального софта, например бесплатной утилиты российской разработки Belkasoft Live RAM Capturer.

Если компьютер не запаролен и доступны юсб порты – просто вставляется флешка и запускается программа, которая копирует все содержимое оперативной памяти.

Если же компьютер запаролен и/или нет доступа к юсб портам, то подключаются к другому порту, называется он FireWire или i.LINK. Стандарт FireWire описывает возможность прямого доступа к оперативной памяти компьютера через канал DMA. Таким образом есть возможность скопировать ее содержимое независимо от того, закрыт компьютер паролем или нет.

Если такого порта вдруг нет, хотя обычно он есть на современных компах, используют переходники с одного порта на нужный.

Как защититься от этого?

Оперативная память обнуляется, когда происходит потеря питания. Проще говоря, как только к тебе постучали в дверь, сразу вырубай компьютер) Также желательно отключить порт FireWire, если не используешь его.