我只是好奇。我已经阅读了有关执法以及什么不能从 ram 恢复有罪数据以获取证据的内容,但它是如何完成的?从一根内存条中恢复文件需要什么样的设备?
Eva*_*ice 10
冻结芯片,将其弹出到另一台计算机,然后运行 linux 命令 dd 将原始数据复制到磁盘。
获得原始数据后,再次使用 dd 将其复制到新分区并在该分区上运行取消删除程序。取消删除应该删除属于可识别格式(例如图片等)的任何文件。其余的可以进一步处理,但不容易,除非你知道你在找什么。
我不能说这是我自己完成的,但不难想象它是如何完成的。
查看Daniel Beck 在评论中发布的这段视频,了解如何使用此方法破解硬盘加密的演示。