como as pessoas recuperam dados do ram?

Congele o chip, coloque-o em outro computador e execute o comando linux dd para copiar os dados brutos para o disco.

Depois de ter os dados brutos, copie-os para uma nova partição usando dd novamente e execute um programa de exclusão na partição. Undelete deve retirar todos os arquivos que caem sob um formato reconhecível (ex-imagens, etc ...). O restante pode ser processado posteriormente, mas não com facilidade, a menos que você saiba o que está procurando.

Eu não posso dizer que fiz isso sozinho, mas não é difícil imaginar como isso é feito.

Confira este vídeo que Daniel Beck postou nos comentários para ver uma demonstração de como violar as criptografias do disco rígido usando este método.

Você não pode (na prática). A RAM precisa ser atualizada constantemente para "lembrar", quando o computador é desligado, a carga vaza após um minuto ou mais.

wikipedia do formulário

Dynamic random access memory (DRAM) is a type of random access memory that stores each bit of data in a separate capacitor within an integrated circuit. Since real capacitors leak charge, the information eventually fades unless the capacitor charge is refreshed periodically. Because of this refresh requirement, it is a dynamic memory as opposed to SRAM and other static memory.

The main memory (the "RAM") in personal computers is Dynamic RAM (DRAM), as is the "RAM" of home game consoles (PlayStation, Xbox 360 and Wii), laptop, notebook and workstation computers.

The advantage of DRAM is its structural simplicity: only one transistor and a capacitor are required per bit, compared to six transistors in SRAM. This allows DRAM to reach very high densities. Unlike flash memory, it is volatile memory (cf. non-volatile memory), since it loses its data when power is removed. The transistors and capacitors used are extremely small—millions can fit on a single memory chip.

As células DRAM armazenam cargas elétricas. Eles estão vazando, assim como foi mencionado, eles precisam ser atualizados.

Existem tolerâncias de fabricação e a influência da temperatura e da idade do componente, que definirão o tempo real necessário para que uma célula DRAM não seja mais legível de maneira confiável se não tiver sido atualizada. A especificação de atualização para um dado chip DRAM será, na verdade, um dos piores valores - algo que manterá seus dados legíveis com chips de produção de segunda-feira que estão operando na temperatura máxima por 20 anos mais ou menos. Na maioria dos casos, a célula pode manter os dados muito mais longos.

Além disso, o circuito dentro de um chip DRAM decide se é necessário ler a quantidade de carga em uma determinada célula como "0" ou "1" (em alguns projetos, isso pode ser revertido - baixa carga significa "1"). O conteúdo de carregamento que não é alto o suficiente para ser lido como "1" ainda está na célula - e, em alguns casos, ao executar o chip DRAM com uma voltagem operacional fora da especificação (que pode estressá-lo ou torná-lo muito mais lento , mas ainda não irá destruí-lo), a tensão limite em que 1 é decidida a partir de 0 pode ser manipulada temporariamente, para que algumas ou todas as células se tornem legíveis novamente.

Além disso, a menos que haja realmente um registro de saída, pode haver diferenças sutis de tensão ou de forma de onda mesmo no sinal de saída quantificado (comutado para 1 ou 0) que pode lhe dar uma indicação de qual carga está realmente na célula (que são amplificadores de leitura) raramente são quantizadores perfeitos, especialmente se forem construídos para velocidade e não precisão.

Além disso, se uma célula for lida incorretamente, um atacante ou um forense determinado ainda poderá usar as estatísticas em seu proveito (conte quantas vezes um 0 ou 1 é lido e correlacionado) ...