Es hat mich sehr überrascht, zum ersten Mal den Inhalt des Arbeitsspeichers einen Reboot überstehen zu sehen. Farmer und Venema sind dabei nicht die ersten, die dieses Phänomen beschreiben. Hier sind noch zwei interessante Artikel zu diesem Thema.
Peter Gutmanns Beitrag Secure Deletion of Data from Magnetic and Solid-State Memory stammt sogar schon aus dem Jahr 1996. Mit dem Hauptspeicher befasst er sich in den Kapiteln 7 und 8:
Contrary to conventional wisdom, "volatile" semiconductor memory does not entirely lose its contents when power is removed.
Was hat es mit diesem speziellen Selbsttest-Modus auf sich, den Gutmann da beschreibt? Gibt es den auch noch in den heutigen DRAM Speichern? Sind Testgeräte verfügbar (für einen akzeptablen Preis, versteht sich), mit deren Hilfe sich DRAMs auslesen lassen?
Der zweite Artikel, auf den ich stieß ist Shredding Your Garbage: Reducing Data Lifetime Through Secure Deallocation von Jim Chow, Ben Pfaff, Tal Garfinkel und Mendel Rosenblum. Sie untersuchen die Lebensdauer von Daten im Arbeitsspeicher. Ihr Artikel enthält dabei im Hinblick auf die forensische Analyse des Arbeitsspeichers einige interessante Beobachtungen.
Grundlage ihrer Untersuchung ist ein Arbeitsplatz unter Microsoft Windows mit 1 GB Hauptspeicher. Auf diesem System übertrugen sie 4 MB Daten via TCP über die Loopback-Schnittstelle. Die Daten wurden dabei im Kernel-Speicher gepuffert. Nach 14 Tagen "normaler" Benutzung waren hiervon noch immer 3 MB erhalten.
Besonders interessant ist, was die Autoren in dem Absatz "Effect of Rebooting" beschreiben. Sie beobachteten, dass ein Warmstart auf manchen Systemen nicht den Inhalt des Hauptspeichers gelöscht hatte. Nach all den bisherigen Befunden kann das schon nicht mehr überraschend. Dann aber heißt es:
On some machines, hard reboots cleared all stamps; on others, such as IBM ThinkPad T30 laptops, many were retained even after 30 seconds without power.
Ich glaube, die Speicheranalyse hat eine großartige Zukunft!
