當(dāng)你關(guān)機(jī)時(shí)，內(nèi)存中儲存的臨時(shí)數(shù)據(jù)如網(wǎng)頁上使用的登錄密碼、你的銀行或者其他金融賬號是否會立即消失？不，沒這么快！希臘的研究人員發(fā)現(xiàn)一個(gè)安全漏洞，可以從利用電腦內(nèi)存來提取密碼和其他敏感數(shù)據(jù)，即使是在待機(jī)模式下。

在即將發(fā)行的國際電子安全和數(shù)字取證雜志上，塞薩洛尼基的馬其頓大學(xué)的Christos Georgiadis和他的同事Stavroula Karayianni以及克桑西的色雷斯-謨克利特大學(xué)的vasilios Katos將展示了數(shù)據(jù)取證專家如何通過他們的發(fā)現(xiàn)來進(jìn)行數(shù)據(jù)取證以及犯罪分子如何收集個(gè)人資料和銀行信息。

研究人員指出，大多數(shù)計(jì)算機(jī)用戶認(rèn)為他們關(guān)機(jī)后，內(nèi)存（RAM）中的所有數(shù)據(jù)會被自動刪除，內(nèi)存主要用于儲存進(jìn)程的臨時(shí)數(shù)據(jù)。RAM通常被稱為非***性存儲器（閃存），因?yàn)镽AM中所有數(shù)據(jù)在關(guān)機(jī)時(shí)會消失。事實(shí)上，RAM中所有數(shù)據(jù)消失是在斷開電源后；所以數(shù)據(jù)只是在斷電情況下是非***性存儲的。

同時(shí)，Georgiadis和他的同事認(rèn)為在不斷電情況下關(guān)機(jī)，內(nèi)存中的數(shù)據(jù)并沒有立即消失。數(shù)據(jù)取證專家和犯罪分子可以借此訪問最近使用的程序的數(shù)據(jù)。只有在使用計(jì)算機(jī)進(jìn)行一個(gè)新的大數(shù)據(jù)調(diào)用才能完全復(fù)寫內(nèi)存中的數(shù)據(jù)，簡單的關(guān)閉電源對于用戶來說毫無安全性和隱私性。

團(tuán)隊(duì)認(rèn)為“ 隨著遠(yuǎn)程分布式系統(tǒng)的流行，需要進(jìn)行采集和分析的嫌疑人的電腦內(nèi)存數(shù)據(jù)不斷增多，內(nèi)存數(shù)據(jù)逐漸成為一個(gè)重要的證據(jù)來源”。因?yàn)樗梢园L問網(wǎng)絡(luò)的歷史記錄和登錄框及在線表單中的未加密密碼。

團(tuán)隊(duì)在一些常見情景下，例如登入Facebook，Gmail，MSN和Skype進(jìn)行了測試，在計(jì)算機(jī)已經(jīng)關(guān)閉后對內(nèi)存進(jìn)行數(shù)據(jù)分析。在5、15和60分鐘之后收集內(nèi)存中的數(shù)據(jù)碎片，然后利用數(shù)據(jù)修復(fù)工具拼接數(shù)據(jù)片段提取信息，他們成功恢復(fù)了之前在firefox閱覽器中登陸的GMail、Facebook和Hotmail的登陸信息以及winrar中文件壓縮數(shù)據(jù)。研究小組認(rèn)為“我們可以得出這樣的結(jié)論：內(nèi)存必須在一定條件下才能完全移除數(shù)據(jù)，所以內(nèi)存數(shù)據(jù)可以為數(shù)據(jù)取證提供一個(gè)有價(jià)值的來源”。