• XSS.stack #1 – первый литературный журнал от юзеров форума

очищение - ram

Отслеживать

Whisper

TPU unit
Пользователь
Регистрация
14.06.2019
Сообщения
2 849
Реакции
1 710
Есть практика при обыске извлекать из компа модули озу и считывать с них информацию и там может найтись много всякого не нужного к нахождению.
Собственно выключенный комп с закриптованными дисками может быть не так уж безопасен, какие способы борьбы кроме как после выключения грузиться с флехи которая будет чистить(перезаписывать) память?
Если выключать бп как быстро память очиститься полностью?, я не железячник но могу предположить что если память не перезаписывалась мусором то не исключено что с нее можно считать данные "спец устройством" даже если она была долго обесточена.
 
Whisper сказал(а):
Есть практика при обыске извлекать из компа модули озу и считывать с них информацию и там может найтись много всякого не нужного к нахождению.
Собственно выключенный комп с закриптованными дисками может быть не так уж безопасен, какие способы борьбы кроме как после выключения грузиться с флехи которая будет чистить(перезаписывать) память?
Если выключать бп как быстро память очиститься полностью?, я не железячник но могу предположить что если память не перезаписывалась мусором то не исключено что с нее можно считать данные "спец устройством" даже если она была долго обесточена.

хороший вопрос)предполагаю,что если перед переходом в спяший режим,скопировать файл равный по обьему твоему буферу,то рам перезапишится)
 
Whisper, my nigga, sdmem is what you want. You also may want to make access to RAM as difficult as possible, okay? Или как альтернатива можно вынести материнку на стол, что бы все работало без корпуса. Как только любой кипишь - выкидываешь в окно планки или разрядом по ним, разрядом! А у Вас спички есть?
 
Переход в спящий режим это вобще не умно на компах где есть что прятать. И хочу заострить ваше внимание на моменте что если скажем спустя минуту после обесточивания из симок ничего не читается(те ваш бутлоадер сказал что там чисто) это не значит что нельзя прочесть используя спец средства.
И кстати шутки шутками а тема серьезная, кто там после выключения чистит память..ау. Спокойный сон с верой крипт может оказаться не таким безопасным как кажеться и господа следователи смогут вас реально удивить...а еще бывает такое когда биос пишет
кейлог в энергонезависимую память и если вы при буте вводите свой пасс клавой и думаете что все ок то вас могут неприятно удивить.
 
Еще добавлю.
Для того что бы снять что-то с ОЗУ, насколько мне известно, ее нужно либо вытащить и замарозить. Либо действовать на "горячую" тобишь грузится с Вашего пк и уже там анализировать ОЗУ. Еще есть возможность считывания ОЗУ через usb (там какой то хитрый доступ к шине, позволяющий получить доступ к остальной периферии. Я точно не вспомню как все это называется. Как минимум вспомните атаки на макбуки, где считывали дамп ОЗУ через thunderbolt).
Таким образом получаем 2 вектора атак:
1. Физический.
1.1. Доступ к ОЗУ через USB порт.
1.2. Физический доступ к самой ОЗУ.
2. Софтварный.
2.1. Загрузка в Live режиме со специальным дистрибутивом для анализа.

Защита:
1. На уровне ОС мониторить все usb порты, и совершать проактивные действия когда будут "аномалии".
2. Защищать физический доступ к машине. Вспомните как в датацентрах защищают эти сервера. Они у них закрыты на ключ.
 
Если же у вас цель просто защитить ключи шифрования HDD - есть решения на базе дополнительных чипов, отвечающих за хранение и доступ к ключам. Опять же я забыл как это называется. (Преклонный возраст дает о себе знать) Но думаю кто ищет тот найдет. ;)

P.S Самое главное это защитить очко от терморектального криптоанализа. Как бы это смешно не звучало, но это самое узкое место во всей криптографии.
 
Про заморозить и все такое в курсе. Но мне приходилось видеть как считывали микрухи которые по своим характеристикам не должны считываться..там спец программатор и какието игры с напряжением ..я хз...не железячник ниразу, от того и имею подозрения что - если из рам ничего не читается на материнке это еще не значит что не читается вовсе.
 
Вот про ректотермальный и брутфорс словарем даля по голове - не нужно, тема про другое.
 
Поймите, у вас из выбора только перед выключением затирать память и максимально затруднить доступ к оборудованию. Все. Больше решений тут нет. Насколько я понял вы искали софтварный способ - это sdmem.
 
Я искал человка который знает знаконы физики и как работает рам, который бы сказал что - дружище после 30сек обесточивания там чисто и это справедливо для всех используемых на данный момент реализаций рам.
 
Думаю здесь таких спецов нет, вам скорее нужно обратится на кряклаб или напрямую в GroupIB. Но учитывая что вы писали про игры с напряжением - это уже какие то костыли, которые не позволят на 100% восстановить дамп. Если я что-то узнаю по теме - я апну данные топик.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Whisper сказал(а):
Я искал человка который знает знаконы физики и как работает рам, который бы сказал что - дружище после 30сек обесточивания там чисто и это справедливо для всех используемых на данный момент реализаций рам.
Странный топик.Создал в 12 часов в рабочий день,час прописал тут и сам себе гордо ответил


хотя возможно я что-то не так понял
1570809298600.png
 
mugwort сказал(а):
Странный топик.Создал в 12 часов в рабочий день,час прописал тут и сам себе гордо ответил


хотя возможно я что-то не так понял
Посмотреть вложение 5819
I'm answered to visor wrote
Насколько я понял вы искали софтварный способ - это sdmem.
 
Apocalypse сказал(а):
Ты пересмотрел теоретиков с ютуба.
Перечитал байки тех кого таки приняли =).
 
это ж не флешка. без вольтажа конечно вмиг все обнулится. ладно бы пару конденсаторов с большой емкостью стояли, тогда БЫ пару секунд было чтобы дернуть и поставить в другую мамку. и то тоже не факт...
 
Whisper сказал(а):
Перечитал байки тех кого таки приняли

Например, хоть одного, кого приняли и успели изъять работающую память из которой извлекли что-то полезное?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх