هارد درایوها (مکانیکی و حالت جامد)، درایوهای فلش و کارتهای حافظه، رسانههای ذخیرهسازی غیرفرار هستند و حتی زمانی که جریان برق به تراشههای این نوع رسانهها قطع میشود، اطلاعات روی آنها از بین نمیرود.
نوع دیگری از رسانههای ذخیرهسازی RAM (حافظه دسترسی تصادفی) است که فرار است و در صورت قطع بار یا قطع برق، دادهها از بین میروند و در حالی که سریعترین هستند، ناپایدارترین هم هستند. اگرچه SSD ها پیشرفت های قابل توجهی در سرعت و زمان دسترسی به داده ها داشته و دارند، اما RAM همچنان در صدر قرار دارد و بالاترین سرعت را در بین رسانه های ذخیره سازی دارد.
اهمیت RAM در دعاوی حقوقی:
به طور سنتی، پزشکی قانونی دیجیتال بر روی مصنوعات موجود در دستگاه های ذخیره سازی سیستم های رایانه ای، تلفن های همراه، دوربین های دیجیتال و سایر دستگاه های الکترونیکی متمرکز شده است. با این حال، در طول دهه گذشته، محققان تعدادی ابزار قدرتمند پزشکی قانونی حافظه را توسعه داده اند که دامنه پزشکی قانونی دیجیتال را به مطالعه حافظه فرار گسترش داده است.
انواع داده های جالبی در RAM وجود دارد که هنگام تجزیه و تحلیل مصنوعات بسیار مهم هستند. پسوردهای ورود، اطلاعات کاربر، فرآیندها و فرآیندهای مخفی در حال اجرا و… اینها تنها بخشی از انواع داده ها و اطلاعات مهم و جالبی است که می توان از رم به دست آورد و به همین دلیل یکی از منابع مهم و محبوب برای پزشکی قانونی و تجزیه و تحلیل بدافزار
با توجه به اینکه داده های رم فرار و بسیار متغیر هستند، باید با اولویت بالایی ذخیره شوند، زیرا با کوچکترین الکتریسیته ساکن یا کوچکترین پردازش اضافی ایجاد شده در سیستم عامل، داده ها از بین می روند. تکنیک های پزشکی قانونی از جستجوهای رشته ای ساده تا تجزیه و تحلیل عمیق و ساختار یافته داده های برنامه و هسته در سیستم عامل ها و برخی پلتفرم ها تکامل یافته اند.
در این مقاله، با انجام یک تحلیل ساده، قصد داریم به بینشی از حافظه پزشکی قانونی دست یابیم.
به طور کلی و خلاصه 3 مرحله را به شرح زیر طی خواهیم کرد:
- تصویربرداری حافظه (Dump)
- تجزیه و تحلیل دامپ
- گزارش نویسی