Forensics - Montaje de unidades en la RAM

1

Desde el punto de vista forense informático. Si alguien montara una partición en RAM usando algo como: mount -t tmpfs tmpfs /mnt -o size=1024m

¿Cuánto más difícil sería recuperar los datos guardados allí que recuperar los datos guardados y borrados en un disco duro normal?

    
pregunta P0LYmath 11.11.2014 - 03:34
fuente

1 respuesta

1

Depende.

El kernel puede usar swapfiles como almacén de respaldo para un sistema de archivos tmpfs : si el kernel decide que necesita intercambiar algo para liberar RAM física, los contenidos del sistema de archivos son candidatos para el intercambio, ya sea en su totalidad o en parte. Si tiene suerte (o mala suerte), los datos coherentes terminarán en el archivo de intercambio para que los vea un investigador. Sin embargo, incluso si se intercambian partes del sistema de archivos, la recuperación de datos será difícil: dado que los metadatos del sistema de archivos pueden no estar presentes y los datos pueden estar en orden aleatorio, es más parecido a realizar análisis forenses en un volcado de memoria que en un sistema de archivos. / p>

Si la computadora todavía se está ejecutando con el sistema de archivos montado, puede ser posible realizar un ataque DMA para recuperar el contenidos de la memoria RAM. En este caso, los análisis forenses serán fáciles, especialmente si el archivo de intercambio también se puede volcar, ya que se puede acceder a toda la estructura y el contenido del sistema de archivos.

Si los datos no se intercambian y no es posible un ataque DMA, la única opción es un ataque de arranque en frío para intentar recuperar el contenido de la RAM antes de que se desintegre.

    
respondido por el Mark 04.12.2014 - 05:02
fuente

Lea otras preguntas en las etiquetas