Como extrair dados da memória do computador quando os computadores são congelados

Várias portas e soquetes em um computador têm acesso direto à memória, incluindo FireWire, ExpressCard, Thunderbolt, PCI e PCI Express. Pode ser possível descarregar o conteúdo da memória para outro computador através de uma conexão com um desses softwares apropriados.

No entanto, o conteúdo não seria limpo e diretamente utilizável. O que está na RAM não é como o que está armazenado no sistema de arquivos do seu disco rígido, tudo bem organizado em arquivos e diretórios independentes. Seria mais parecido com uma recuperação de baixo nível do conteúdo de discos rígidos.

Existe outra abordagem para tentar salvar o conteúdo da memória. Um estudo em Princeton descobriu que o conteúdo da memória RAM na verdade persiste após a energia ser desligada por segundos a minutos em temperatura ambiente e por mais tempo se os chips estiverem congelados. Isso foi explorado para recuperar chaves de criptografia (veja this e this ), usando uma técnica chamada ataque coldboot.

O artigo de Princeton menciona o potencial para adquirir imagens de memória de sistema completo utilizáveis por esta abordagem. O terceiro link menciona a recuperação de 8 a 16 GB de dados de uma inicialização anterior, o que poderia ser qualquer dado no computador em deadlock. Dois métodos são mencionados nesses links. Um está transferindo fisicamente a RAM para outro computador. A outra é a criação de uma ferramenta USB que despeja a memória no armazenamento imediatamente após a reinicialização.

O uso do DMA, como discutido em outra parte deste post, pode ser a primeira coisa a ser tentada, pois mantém a RAM atualizada. No entanto, se você não tiver acesso ao equipamento e software necessários para fazer isso, talvez valha a pena explorar essa abordagem.