очищение - ram

[Whisper]

Например, хоть одного, кого приняли и успели изъять работающую память из которой извлекли что-то полезное?

Я вам теряюсь что сказать..., ну так что бы вам обидно не стало.
Давайте так - я не хочу являть собой такой пример и вам не желаю.

 

[Apocalypse]

Найс отмазался :smile12:

 

[Dummy]

Насколько я знаю, колдбут атаки протухли давно. Пока вам дверь выпиливать будут данные станут нерелевантны. Лучше беспокойтесь о том, чтобы вам электричество не отрубили, а у вас диски не потерты. Пароль в любом случае придется озвучить, рано или поздно.

 

[a1d]

Насколько я знаю, колдбут атаки протухли давно. Пока вам дверь выпиливать будут данные станут нерелевантны. Лучше беспокойтесь о том, чтобы вам электричество не отрубили, а у вас диски не потерты. Пароль в любом случае придется озвучить, рано или поздно.

Если я тебе правильно понял, то после выключения питания через 5-10 минут RAM уже очищена? А то планирую ноутбук брать, интересует вопрос

 

[Dummy]

Если я тебе правильно понял, то после выключения питания через 5-10 минут RAM уже очищена? А то планирую ноутбук брать, интересует вопрос

Верно, быстрее даже. Выхватить включенный ноут, как это было с владельцем силк роад, гораздо реальнее, чем проводить подобные атаки.

 

[Guron_18]

sdmem
Ram wiping
очень ищу аналоги под винду.

 

[Mirder]

Насколько я знаю, колдбут атаки протухли давно. Пока вам дверь выпиливать будут данные станут нерелевантны. Лучше беспокойтесь о том, чтобы вам электричество не отрубили, а у вас диски не потерты. Пароль в любом случае придется озвучить, рано или поздно.

Как это будет только происходить в реале не понятно. Например, выключили свет, начали дверь выпиливать... У вас ноутбук включен. Вы с невозмутимым лицом размонтируете контейнеры и зашифрованные диски, затираете память RAM, потом затираете за 33 прохода всё что было пошифровано + скрытая ОС. И чистенький ноут выключаете. Потом вам ещё надо симки успеть спрятать и пакет гашика со спайсами в унитаз слить))
Может есть какой-нибудь более быстрый и беспалевный способ его вырубить, типа молотка?))

 

[888]

Как это будет только происходить в реале не понятно. Например, выключили свет, начали дверь выпиливать... У вас ноутбук включен. Вы с невозмутимым лицом размонтируете контейнеры и зашифрованные диски, затираете память RAM, потом затираете за 33 прохода всё что было пошифровано + скрытая ОС. И чистенький ноут выключаете. Потом вам ещё надо симки успеть спрятать и пакет гашика со спайсами в унитаз слить))
Может есть какой-нибудь более быстрый и беспалевный способ его вырубить, типа молотка?))

Можете пойти другим путём



Вообще я изучал чуть чуть кремниевые носители информации.На сколько мне известно(я могу очень ошибаться) память в кристалле -есть взаимодействие положительных зарядов(электронов) на разных орбиталях.

Там есть ворота,через которые проходит заряд(1),либо не проходит(0),они регулируется тоже зарядами.

Если отключить от питания память,то ничего не изменится.Заряды там же и останутся,что мешает её считать через другое устройство?Правильно-ничего.Существует масса способов осуществить задуманное,от прямого до дистанционного.Главное правильно извлечь от туда всю информацию.Но нас интересует как изменить положение электронов,предположу что самый верный способ это направить на распиновку хорошее напряжение и сорвать заряды со своих орбит(что делается программно,хз как там оно устроенно).В идеальном варианте 220w выжгет Ваш кристалл и не оставит проблем.Если сломать кристалл,то это не гарантирует того,что кто то при помощи нано технологии не сможет восстановить дорожки.Главное не косячить так,что бы паяльником ректальную дорогу Вам прожгли.Т.к. это более эффективный способ восстановления информаии,в отличии от НАНО и менее затратный,соответственно рациональный,а страна в кризисе,сами понимаете.

 

[Adam]

На linux есть sdmem пакет. Сделал две комбинации на нажатие 3 кнопок, один вариант очищает рам память при блокировке экрана, другой перед выключением. Уходит секунд 10, но в любом случае при очистке памяти пользоваться пк не получится, память забивается. От внезапного выключения питания сети, нужно резервное питание, либо ноутбук.

Скачиваем пакет.
sudo apt install sdmem

Надо разрешить запускать обычному пользователю sdmem без пароля, так как sdmem работает только от суперпользователя.
sudo visudo
В самом низу пишем.

#includedir /etc/sudoers.d
user ALL=(ALL) NOPASSWD: /usr/bin/sdmem

У меня i3-wm, по пути /home/user/.config/i3/config лежит стандартный файлик, но с некоторыми дополнениями:

bindsym l exec --no-startup-id /usr/bin/sdmem+i3lock, mode "default"
bindsym Return exec --no-startup-id /usr/bin/sdmem+poweroff, mode "default"

Создаём два bash скрипта и кладём в директорию /usr/bin
1 nano /usr/bin/sdmem+i3lock

#!/bin/bash

sudo sdmem -fll
i3lock -c 000000 && sleep 1

2 nano /usr/bin/sdmem+poweroff

#!/bin/bash

sudo sdmem -fll
systemctl poweroff -i

Нажатие кнопок Win+Pause_Break+l - Очищает ram и блокирует экран.
Нажатие кнопок Win+Pause_Break+Enter - Очищает ram и выключает пк.

 

[888]

Статические оперативные запоминающие устройства - ОЗУ (RAM)

В радиоаппаратуре часто требуется хранение временной информации, значение которой не важно при включении устройства. Такую память можно было бы построить на микросхемах EEPROM или FLASH -памяти, но, к сожалению, эти микросхемы дороги, обладают малым количеством перезаписей и чрезвычайно низким быстродействием при считывании и особенно записи информации. Для хранения временной информации можно воспользоваться параллельными регистрами. Так как запоминаемые слова не нужны одновременно, то можно воспользоваться механизмом адресации, который применяется в ПЗУ.
Схемы, в которых в качестве запоминающей ячейки используется параллельный регистр называются статическим оперативным запоминающим устройством - статическим ОЗУ (RAM - random access memory - память с произвольным доступом), т.к. информация в нем сохраняется все время, пока к микросхеме ОЗУ подключено питание. В отличие от статической ОЗУ в микросхемах динамического ОЗУ постоянно требуется регенерировать их содержимое, иначе информация будет испорчена.
В микросхемах ОЗУ присутствуют две операции: операция записи и операция чтения. Для записи и чтения информации можно использовать различные шины данных (как это делается в сигнальных процессорах), но чаще используется одна и та же шина данных. Это позволяет экономить внешние выводы микросхем, подключаемых к этой шине и легко осуществлять коммутацию сигналов между различными устройствами.
Структурная схема статического ОЗУ приведена на рисунке 1. Вход и выход ОЗУ в этой схеме объединены при помощи шинного формирователя. Естественно, что схемы реальных ОЗУ будутотличаться от приведенной на этом рисунке. Тем не менее, приведенная схема позволяет понять как работает реальное ОЗУ. Условно-графическое обозначение ОЗУ на принципиальных схемах приведено на рисунке 2.

Рисунок 1. Структурная схема ОЗУ (RAM)

Рисунок 2. Условно-графическое обозначение ОЗУ (RAM)
Сигнал записи WR позволяет записать логические уровни, присутствующие на информационных входах во внутреннюю ячейку ОЗУ (RAM). Сигнал чтения RD позволяет выдать содержимое внутренней ячейки памяти на информационные выходы микросхемы. В приведенной на рисунке 1 схеме невозможно одновременно производить операцию записи и чтения, но обычно это и не нужно.
Конкретная ячейка ОЗУ выбирается при помощи двоичного кода - адреса ячейки. Объем памяти ОЗУ (RAM) зависит от количества ячеек, содержащихся в ней или, что то же самое, от количества адресных проводов. Количество ячеек в ОЗУ можно определить по количеству адресных проводов, возводя 2 в степень, равную количеству адресных выводов в микросхеме:

Вывод выбора кристалла CS микросхем ОЗУ позволяет объединять несколько микросхем для увеличения объема памяти ОЗУ. Такая схема приведена на рисунке 3.

Рисунок 3. Схема ОЗУ, построенного на нескольких микросхемах памяти
Статические ОЗУ требуют для своего построения большой площади кристалла, поэтому их ёмкость относительно невелика. Статические ОЗУ применяются для построения микроконтроллерных схем из-за простоты построения принципиальной схемы и возможности работать на сколь угодно низких частотах, вплоть до постоянного тока. Кроме того статические ОЗУ применяются для построения КЭШ-памяти в универсальных компьютерах из-за высокого быстродействия статического ОЗУ.
Временные диаграммы чтения из статического ОЗУ совпадают с временными диаграммами чтения из ПЗУ. Временные диаграммы записи в статическое ОЗУ и чтения из него приведены на рисунке 4.

Рисунок 4. Временная диаграмма обращения к ОЗУ принятая для схем, совместимых со стандартом фирмы INTEL

На рисунке 4 стрелочками показана последовательность, в которой должны формироваться управляющие сигналы ОЗУ. На этом рисунке RD - это сигнал чтения; WR - сигнал записи; A - сигналы выбора адреса ячейки (так как отдельные биты в шине адреса могут принимать разные значения, то показаны пути перехода как в единичное, так и в нулевое состояние); DI - входная информация, предназначенная для записи в ячейку ОЗУ, расположенную по адресу A1; DO - выходная информация, считанная из ячейки ОЗУ, расположенной по адресу A2.

Рисунок 5. Временная диаграмма обращения к ОЗУ принятая для схем, совместимых со стандартом фирмы MOTOROLA
На рисунке 5 стрелочками показана последовательность, в которой должны формироваться управляющие сигналы. На этом рисунке R/W - это сигнал выбора операции записи или чтения; DS - сигнал стробирования данных; A - сигналы выбора адреса ячейки (так как отдельные биты в шине адреса могут принимать разные значения, то показаны пути перехода как в единичное, так и в нулевое состояние); DI - входная информация, предназначенная для записи в ячейку ОЗУ, расположенную по адресу A1; DO - выходная информация, считанная из ячейки ОЗУ, расположенной по адресу A2.

EEPROM и flash память

EEPROM — это энергонезавимая память с электрическим стиранием информации. Количество циклов записи-стирания в этих микросхемах достигает 1000000 раз. Заминающие ячейки в них, также как и в постоянных запоминающих устройствах с электрическим стиранием EPROM, реализуются на основе транзисторов с плавающим затвором. Внутреннее устройство этой запоминающей ячейки приведено на рисунке 1:

Рисунок 1. Запоминающая ячейка ПЗУ с электрическим стиранием (EEPROM)
Ячейка EEPROM памяти представляет собой МОП транзистор, в котором затвор выполняется из поликристаллического кремния. Затем в процессе изготовления микросхемы этот затвор окисляется и в результате он будет окружен оксидом кремния — диэлектриком с прекрасными изолирующими свойствами. В транзисторе с плавающим затвором при полностью стертом ПЗУ, заряда в "плавающем" затворе нет, и поэтому данный транзистор ток не проводит. При программировании, на второй затвор, находящийся над "плавающим" затвором, подаётся высокое напряжение и в него за счет туннельного эффекта индуцируются заряды. После снятия программирующего напряжения индуцированный заряд остаётся на плавающем затворе, и, следовательно, транзистор остаётся в проводящем состоянии. Заряд на его плавающем затворе может храниться десятки лет.
Подобная ячейка памяти применялась в ПЗУ с ультрафиолетовым стиранием (EPROM). В ячейке памяти с электрическим стиранием возможна не только запись, но и стирание информации. Стирание информации производится подачей на программирующий затвор напряжения, противоположного напряжению записи. В отличие от ПЗУ с ультрафиолетовым стиранием, время стирания информации в EEPROM памяти составляет около 10 мс.
Структурная схема энергонезависимой памяти с электрическим стиранием не отличается от структурной схемы масочного ПЗУ. Единственное отличие — вместо плавкой перемычки используется описанная выше ячейка. Ее упрощенная структурная схема приведена на рисунке 2.

Рисунок 2. Упрощенная структурная схема EEPROM
В качестве примера микросхем EEPROM памяти можно назвать отечественные микросхемы 573РР3, 558РР3 и зарубежные микросхемы серий AT28с010, AT28с040 фирмы Atmel, HN58V1001 фирмы Hitachi Semiconductor, X28C010 фирмы Intersil Corporation. В EEPROM памяти чаще всего хранятся пользовательские данные в сотовых аппаратах, которые не должны стираться при выключении питания (например адресные книги), конфигурационная информация роутеров или сотовых аппаратов, реже эти микросхемы применяются в качестве конфигурационной памяти FPGA или хранения данных DSP. EEPROM изображаются на принципиальных схемах как показано на рисунке 3.

Рисунок 3. Условно-графическое обозначение электрически стираемого постоянного запоминающего устройства
Чтение информации из параллельной EEPROM памяти производится аналогично чтению из масочного ПЗУ. Сначала на шине адреса выставляется адрес считываемой ячейки памяти в двоичном коде A0...A9, затем подается сигнал чтения RD. Сигнал выбора кристалла CS обычно используется в качестве дополнительного адресного провода для обращения к микросхеме. Временные диаграммы сигналов на входах и выходах этого вида ПЗУ приведены на рисунке 4.

Рисунок 4. Временные диаграммы сигналов чтения информации из EEPROM памяти

На рисунке 5 приведен чертеж типового корпуса микросхемы параллельной EEPROM памяти.

Рисунок 5. Чертеж корпуса микросхемы параллельной EEPROM
Обычно данные, которые хранятся в EEPROM требуются достаточно редко. Время считывания при этом не критично. Поэтому в ряде случаев адрес и данные передаются в микросхему и обратно через последовательный порт. Это позволяет уменьшить габариты микросхем за счет уменьшения количества внешних выводов. При этом используются два вида последовательных портов — SPI порт и I2C порт (микросхемы 25сXX и 24cXX серий соответственно). Зарубежной серии 24cXX соответствует отечественная серия микросхем 558РРX.
Внутренняя схема микросхем серии 24сXX (например AT24C01) приведена на рисунке 6.

Рисунок 6. Внутренняя схема микросхемы AT24C01

Подобные микросхемы широко используются для сохранения настроек телевизоров, в качестве памяти plug and play в компьютерах и ноутбуках, конфигурационной памяти ПЛИС и сигнальных процессоров (DSP). Применение последовательной EEPROM памяти позволило значительно уменьшить стоимость данных устройств и увеличить удобство работы с ними. Пример расположения данной микросхемы на печатной плате карты памяти компьютера приведен на рисунке 7.

Рисунок 7. EEPROM на печатной плате карты памяти компьютера
На рисунке 8 приведена схема электронной карты с применением внешней EEPROM микросхемы.

Рисунок 8. Схема электронной карты с применением внешней EEPROM

На данной схеме микроконтроллер PIC16F84 осуществляет обмен данными с EEPROM памятью 24LC16B. В таких устройствах, как SIM-карта, уже не применяется внешняя микросхема памяти. В SIM-картах сотовых аппаратов используется внутренняя EEPROM память однокристального микроконтроллера. Это позволяет максимально снизить цену данного устройства.
Схема управления для электрически стираемых программируемых ПЗУ получилась сложная, поэтому наметилось два направления развития этих микросхем:

1. ЕСППЗУ (EEPROM) - электрически стираемое программируемое постоянное запоминающее устройство
2. FLASH-ПЗУ

FLASH - ПЗУ отличаются от ЭСППЗУ тем, что стирание производится не каждой ячейки отдельно, а всей микросхемы в целом или блока запоминающей матрицы этой микросхемы, как это делалось в РПЗУ.

Рисунок 9. Условно-графическое обозначение FLASH памяти
При обращении к постоянному запоминающему устройству сначала необходимо выставить адрес ячейки памяти на шине адреса, а затем произвести операцию чтения из микросхемы. Эта временная диаграмма приведена на рисунке 11.

Рисунок 10. Временные диаграммы сигналов чтения информации из ПЗУ
На рисунке 10 стрелочками показана последовательность, в которой должны формироваться управляющие сигналы. На этом рисунке RD - это сигнал чтения, A - сигналы выбора адреса ячейки (так как отдельные биты в шине адреса могут принимать разные значения, то показаны пути перехода как в единичное, так и в нулевое состояние), D - выходная информация, считанная из выбранной ячейки ПЗУ.

Постоянные запоминающие устройства (ПЗУ)

Очень часто в различных применениях требуется хранение информации, которая не изменяется в процессе эксплуатации устройства. Это такая информация как программы в микроконтроллерах, начальные загрузчики (BIOS) в компьютерах, таблицы коэффициентов цифровых фильтров в сигнальных процессорах, DDCи DUC, таблицы синусов и косинусов в NCO и DDS. Практически всегда эта информация не требуется одновременно, поэтому простейшие устройства для запоминания постоянной информации (ПЗУ) можно построить на мультиплексорах. Иногда в переводной литературе постоянные запоминающие устройства называются ROM (read only memory — память доступная только для чтения). Схема такого постоянного запоминающего устройства (ПЗУ) приведена на рисунке 1.

Рисунок 1. Схема постоянного запоминающего устройства (ПЗУ), построенная на мультиплексоре
В этой схеме построено постоянное запоминающее устройство на восемь одноразрядных ячеек. Запоминание конкретного бита в одноразрядную ячейку производится запайкой провода к источнику питания (запись единицы) или запайкой провода к корпусу (запись нуля). На принципиальных схемах такое устройство обозначается как показано на рисунке 2.

Рисунок 2. Обозначение постоянного запоминающего устройства на принципиальных схемах
Для того, чтобы увеличить разрядность ячейки памяти ПЗУ эти микросхемы можно соединять параллельно (выходы и записанная информация естественно остаются независимыми). Схема параллельного соединения одноразрядных ПЗУ приведена на рисунке 3.

Рисунок 3. Схема многоразрядного ПЗУ (ROM)
В реальных ПЗУ запись информации производится при помощи последней операции производства микросхемы — металлизации. Металлизация производится при помощи маски, поэтому такие ПЗУ получили название масочных ПЗУ. Еще одно отличие реальных микросхем от упрощенной модели, приведенной выше — это использование кроме мультиплексора еще и демультиплексора. Такое решение позволяет превратить одномерную запоминающую структуру в двухмерную и, тем самым, существенно сократить объем схемы дешифратора, необходимого для работы схемы ПЗУ. Эта ситуация иллюстрируется следующим рисунком:

Рисунок 4. Схема масочного постоянного запоминающего устройства (ROM)
Масочные ПЗУ изображаются на принципиальных схемах как показано на рисунке 5. Адреса ячеек памяти в этой микросхеме подаются на выводы A0 ... A9. Микросхема выбирается сигналом CS. При помощи этого сигнала можно наращивать объем ПЗУ (пример использования сигнала CS приведён при обсуждении ОЗУ). Чтение микросхемы производится сигналом RD.

Рисунок 5. Условно-графическое обозначение масочного ПЗУ (ROM) на принципиальных схемах

Программирование масочного ПЗУ производится на заводе изготовителе, что очень неудобно для мелких и средних серий производства, не говоря уже о стадии разработки устройства. Естественно, что для крупносерийного производства масочные ПЗУ являются самым дешевым видом ПЗУ, и поэтому широко применяются в настоящее время. Для мелких и средних серий производства радиоаппаратуры были разработаны микросхемы, которые можно программировать в специальных устройствах — программаторах. В этих ПЗУ постоянное соединение проводников в запоминающей матрице заменяется плавкими перемычками, изготовленными из поликристаллического кремния. При производстве ПЗУ изготавливаются все перемычки, что эквивалентно записи во все ячейки памяти ПЗУ логических единиц. В процессе программирования ПЗУ на выводы питания и выходы микросхемы подаётся повышенное питание. При этом, если на выход ПЗУ подаётся напряжение питания (логическая единица), то через перемычку ток протекать не будет и перемычка останется неповрежденной. Если же на выход ПЗУ подать низкий уровень напряжения (присоединить к корпусу), то через перемычку запоминающей матрицы будет протекать ток, который испарит ее и при последующем считывании информации из этой ячейки ПЗУ будет считываться логический ноль.
Такие микросхемы называются программируемыми ПЗУ (ППЗУ) или PROM и изображаются на принципиальных схемах как показано на рисунке 6. В качестве примера ППЗУ можно назвать микросхемы 155РЕ3, 556РТ4, 556РТ8 и другие.

Рисунок 6. Условно-графическое обозначение программируемого постоянного запоминающего устройства (PROM) на принципиальных схемах
Программируемые ПЗУ оказались очень удобны при мелкосерийном и среднесерийном производстве. Однако при разработке радиоэлектронных устройств часто приходится менять записываемую в ПЗУ программу. ППЗУ при этом невозможно использовать повторно, поэтому раз записанное ПЗУ при ошибочной или промежуточной программе приходится выкидывать, что естественно повышает стоимость разработки аппаратуры. Для устранения этого недостатка был разработан еще один вид ПЗУ, который мог бы стираться и программироваться заново.
ПЗУ с ультрафиолетовым стиранием строится на основе запоминающей матрицы построенной на ячейках памяти, внутреннее устройство которой приведено на следующем рисунке:

Рисунок 7. Запоминающая ячейка ПЗУ с ультрафиолетовым и электрическим стиранием

Ячейка представляет собой МОП транзистор, в котором затвор выполняется из поликристаллического кремния. Затем в процессе изготовления микросхемы этот затвор окисляется и в результате он будет окружен оксидом кремния — диэлектриком с прекрасными изолирующими свойствами. В описанной ячейке при полностью стертом ПЗУ, заряда в плавающем затворе нет, и поэтому транзистор ток не проводит. При программировании ПЗУ, на второй затвор, находящийся над плавающим затвором, подаётся высокое напряжение и в плавающий затвор за счет туннельного эффекта индуцируются заряды. После снятия программирующего напряжения индуцированный заряд остаётся на плавающем затворе, и, следовательно, транзистор остаётся в проводящем состоянии. Заряд на плавающем затворе подобной ячейки может храниться десятки лет.
Структурная схема описанного постоянного запоминающего устройства не отличается от описанного ранее масочного ПЗУ. Единственное отличие — вместо плавкой перемычки используется описанная выше ячейка. Такой вид ПЗУ называется репрограммируемыми постоянными запоминающими устройствами (РПЗУ) или EPROM. В РПЗУ стирание ранее записанной информации осуществляется ультрафиолетовым излучением. Для того, чтобы этот свет мог беспрепятственно проходить к полупроводниковому кристаллу, в корпус микросхемы ПЗУ встраивается окошко из кварцевого стекла.

Рисунок 8. Внешний вид стираемого постоянного запоминающего устройства (EPROM)
При облучении микросхемы РПЗУ, изолирующие свойства оксида кремния теряются, накопленный заряд из плавающего затвора стекает в объем полупроводника, и транзистор запоминающей ячейки переходит в закрытое состояние. Время стирания микросхемы РПЗУ колеблется в пределах 10 ... 30 минут.
Количество циклов записи-стирания микросхем EPROM находится в диапазоне от 10 до 100 раз, после чего микросхема РПЗУ выходит из строя. Это связано с разрушающим воздействием ультрафиолетового излучения на оксид кремния. В качестве примера микросхем EPROM можно назвать микросхемы 573 серии российского производства, микросхемы серий 27сXXX зарубежного производства. В РПЗУ чаще всего хранятся программы BIOS универсальных компьютеров. РПЗУ изображаются на принципиальных схемах как показано на рисунке 8.

Рисунок 9. Условно-графическое обозначение РПЗУ (EPROM)
Репрограммируемые ПЗУ достаточно длительное время применялись в компьютерах для хранения BIOS. Их содержимое называется прошивкой микросхемы. В настоящее время они в основном вытеснены микросхемами FLASH памяти. Ряд комплектующих компьютера, такие как видеокарты, звуковые карты, дополнительные порты тоже комплектуются микросхемами EPROM памяти.

 

[PlebsoVata]

можешь попробовать в каком-либо аггрегаторе статей поискать необходимую инфу по запросам по типу
ram forensics, physics of ram, how ram actually works и тд
из аггрегаторов статей, это поисковики с оператором filetype:pdf
поиск по статьям на zlibrary
можешь еще на blackhat что-нибудь с этим связанное поискать например таким запросом по гуглу "ram forensics filetype:pdf site:blackhat.com"

 

[Tejar]

Если отключить от питания память,то ничего не изменится.Заряды там же и останутся,что мешает её считать через другое устройство?Правильно-ничего.

Нет, через несколько минут после выключения, инфу считать уже будет нельзя

 

[888]

Direct Memory Access (DMA) — низкоуровневый режим работы компьютерных устройств, предполагающий прямой доступ к оперативной памяти компьютера. Он требуется для работы PCIe, Thunderbolt и некоторых других устройств. В нормальных условиях DMA используется для более быстрого доступа к памяти, чтобы не занимать процессор.

С помощью специального «злого» устройства атакующий может захватить контроль над шиной PCIe и получить полный доступ на чтение и запись в память работающего компьютера, даже если программно система защищена от проникновений.
DMA-атаки позволяют

• Незаметно для операционной системы и антивирусов читать и модифицировать данные в памяти компьютера;
• Делать инъекции своего кода в ОС и работающие программы
• Извлекать любые данные запущенных программ: ключи, пароли
• Обходить аутентификацию и авторизацию операционной системы
• Получить доступ к файловой системе
• Отключать антивирусы и другие программные защиты.

В качестве жертвы будет выступать обычный X86-компьютер, а плата USB3380 — в качестве «злого» устройства. На стороне атакующего будет использоваться фреймворк pcileech.

Разберем, какие устройства поддерживает pcileech в качестве атакующих, и что лучше выбрать. Настроим с нуля стенд атакующего на основе платы USB3380.
Изначально компьютер-жертва будет иметь зашифрованный с помощью bitlocker жесткий диск и заблокированную для входа в операционную систему.

Мы выполним такие атаки:

• Обход аутентификации windows— Вход в учетную запись без сброса паролей
• Доступ к файлам жертвы. Несмотря на шифрование файловой системы, доступ к файлам все равно возможен изнутри ОС
• Вытаскиваем из памяти ценные данные — ключи от Bitcoin-кошелька, пароли и набранный текст
• Устанавливаем имитацию трояна сразу в память без промежуточных файлов на диске

Занятие будет полезно разработчикам встраиваемых систем, тем, кто проектирует терминалы, банкоматы, станки, игровые и гемблинговые автоматы. Вам потребуются базовые знания работы аппаратных частей компьютера.

Фреймворк pcileech достаточно простой и имеет несколько удобных плагинов для типовых атак, поэтому научиться им пользоваться вполне сможет любой продвинутый пользователь компуктера.
[CLIKE]Кому интересна подобная методика и всё остальное что с этим связано ,можете сходить на это мероприятие.[/CLIKE]

 

[Поп-Хлоп]

Под окошки есть вменяемая защита?
Какая нибудь программная приблуда, которая в режиме блокировки экрана будет мониторить появление новых USB\PCI\Ethernet\etc... девайсов, или сетевых соединений и, например, ребутить комп.

 

[Whisper]

Вменяемая защита - вставить во все порты по устройству, и настроить систему так что выемка любого из устройств приводит к очищению памяти(начиная с криптоключей)(естественно по вводу пароля добавляется возможность извлечения устройств), ну и естественно саспенд всего на свете кроме ядра которое чистит. Если есть достаточно манны то можно наворотить дополнительных штук дрюк. Для боевой машины приветствуется распаянная память во вменяемом ее количистве...еще можно юзать клей(перепаять слоты в случае выхода модуля памяти из строя явно не самая большая проблема).

 

[Whisper]

Кстати вот еще интересный подход, подключаем датчик сердцебиений и при выходе за нормальный ритм запрашиваем пароль который нужно ввести в течении пары минут, запрашиваем например вылетевшим сообщениеб об ошибке или чем то таким неявным, и вводим пас тупо отстукивая в десктоп(никаких полей ввода и прочих глупостей).

 

[888]

читал специальную методичку ,на случай если берут какого нибудь хакера,они не должны к пк прикосаться(выключать его,пытаться выдернуть что либо,пыль сдувать),а лишь обязаны вызвать специальнообученного специалиста по компам,который должен осмотреть пк и сделать всё согласно своей методики(считать память и собрать все улики ).

 

[Whisper]

Ну то что я описал и есть самый годный(IMHO) способ против таких вот специалистов - все порты заняты(хитрого девайса не воткнуть), память не вынуть, время на маневр сильно ограничено.
Люди с прямыми руками могут защитить корпус компа от вскрытия во включенном состоянии(что бы небыло возможности притулить что то прямо мамке). Удобряем здравомыслие фантазией и собираем плоды =).

 

[Чешуя]

Несколько рекомендаций от меня:

1) VeraCrypt. В новой версии появилась опция защиты ключей в оперативной памяти + разные костыли в виде очистки ключей если в систему вставлено устройство с возможностью DMA доступа.
2) Есть компьютерные корпуса с посадочным местом под датчик открытия корпуса (датчик в комплекте не идёт, докупается отдельно), при открытии боковой крышки контакты замыкаются, и можно либо тригенрнуть перезагрузку, либо выключение.
3) Как уже упомянул коллега выше, не лишним будет посадить на клей оперативную память для противодействия атакам типа холодной перезагрузки, замораживанию планок жидким азотом, и т.д...
4) На aliexpress продаются девайсы с радиокнопкой для дистанционного выключения или перезагрузки компьютера.
5) Отдельно взятые гики могут собрать на той же arduino простенький контроль доступа (arduino + реле + датчик движения + кодовая клавиатура), и перед уходом активировать, а по возвращению деактивировать паролем (в случае отсутствия деактивации >= 10 секунд, реле выключает или перезагружает компьютер)

Сейчас идёт конкурс статей, мне кажется ребятам стоит подвигаться в этом направлении, и чем больше информации, тем крепче может спать наш брат.
В интернете есть обрывки разной информации, к примеру есть мнение, что уже имеются материнские платы, в биосе которых можно пофиксить возможность провести DMA атаку. Так-же ходят слухи, что где то уже есть защищенные планки оперативной памяти. Те-же слухи ходят и про аппаратные устройства шифрования ключей изолированно от памяти.

Если у кого будет чем дополнить, посоветовать, или обратить внимание на что-либо, буду очень рад.

 

[Whisper]

Датчики и релюхи тема. Следует помнить что - клей не спасет от того что вам сбросят цмос и загрузятся с флехи которая сдампит память...но датчиками и релюхами можно зарешать многое.