野生でのコールドブート攻撃の方法

Question

私の知る限り、コールドブート攻撃を実行するには2つの方法があります。

永続的なメディアにメモリを自動的にエクスポートする最小限のメモリフットプリントで、システムを別のオペレーティングシステムまたはBIOSで再起動します。
物理的にメモリモジュールを取り外し、それらをRAMホットプラグを有効にしてマザーボードまたはアナライザーに配置し、メモリを直接読み取ります。

どちらの方法でも、オプションでメモリモジュールを冷却して、メモリの内容をより長く保持できます。ただし、それぞれの方法には独自の欠点があります。最初の方法は、BIOSパスワードが設定されているとシステムが起動せず、特に[ECCの場合] POSTがメモリを上書きする可能性があるため、問題が発生する可能性があります。 2番目の方法の欠点は、メモリを物理的に削除するのに時間がかかり、データが失われる可能性が高くなること、および多くのデバイスでマザーボードにメモリがはんだ付けされて移動できない可能性があることです。どちらの手法も、揮発性が高く、新しいBIOSで有効になっているメモリスクランブリングが原因でDDR3およびDDR4メモリに問題がある可能性があります（編集：見かけ上、暗号化にLFSRを使用しているため、メモリスクランブリングはまったく役に立たないため、多くのDIMMが使用されている場合、メモリインターリーブにより処理が複雑になりますが、既知のプレーンテキストは50バイトのみで壊れています。

earlyDDR3モジュールに対してホットスワップを含む攻撃実用的で、90％以上のビットが回復したが、最新のDDR3およびDDR4モジュールはおそらく実装が大幅に異なるため、野生でのコールドブートの効果に影響する可能性があります。レガシーDDRおよびDDR2メモリに対するコールドブート攻撃がかなり簡単であることを知っているので、コールドブート攻撃の実際の使用例を確認することに興味はありますが、あまり気にしません。他に何もなければ、彼らに関係なく。

つまり、私の質問は、実際の犯罪者のコンピュータフォレンジックの実態において、DDR3およびDDR4 DRAMに対して今日使用されている最も一般的なコールドブート攻撃の形式とは何か、そしてその理由は何ですか？

編集：考えられる役立つリードはこのアーカイブされたプレゼンテーションです。サマリー：

サーバーPCのBIOSスワップ。 firewire、reboot、またはuserspaceツールを使用したメモリ取得が標準です。インテルのマザーボードBIOSがECCメモリをワイプし、PCIeのライブプラグが失敗した場合はどうなりますか？

プレゼンテーションでは、corebootプロジェクトのメソッドを使用してRAMを初期化する別の方法について説明します。初期化後、RAMをシリアルおよびLPC-USBデバイスを介して圧縮してダンプできます。

これは、メモリを削除しても彼らの心を越えなかったように聞こえます。講演では、DIMMをホットスワップしてモジュールを冷却するだけでは不十分であり、最先端のバスメモリアナライザを除いて、666 MHzの速度で動作している場合でも、ライブメモリを分析するには遅すぎると述べました。。そしてもちろん、POST、ECCの使用、またはBIOSパスワードでメモリをワイプすると、別のOSまたはブートローダーで起動してメモリをダンプできなくなります。

Daisetsu · Answer

最初に、DDR3対DDR4の問題に対処します。 DDR3とDDR4の違いは、主に電圧とクロック速度です。私はDDR4のコールドブートに関する研究があるかどうかを確認しましたが、これまでのところ、その実用性に関する学術論文はないようです。商業フォレンジックラボはDDR4に対してコールドブート攻撃を行っている可能性がありますが、それらは競争上の利点であるため、技術を公開することはほとんどありません。次に、3と4の違いは比較的小さなものです（それが何をするかについて大きな変更はなく、むしろそれがどのように機能するかです）。 DDR3と4の間に（コールドブートの観点から）違いがない場合もあります。

DDR1/2のコールドブート（2013年にはDDR3に入ることができませんでした） https://www1.cs.fau.de/filepool/projects/coldboot/fares_coldboot.pdf

DDR3のコールドブート（インテルスクランブリング） https://www.dfrws.org/2016eu/proceedings/DFRWS-EU-2016-7.pdf

DDR2とDDR3のコールドブートの違い（2015）-DDR3の10秒の電力損失は、回復時のエラー率が非常に低いことを示しています。 https://youtu.be/ZHq2xG4XJXM?t=13m10s

DDR1/2のコールドブート（2013年にはDDR3に入ることができませんでした） https://www1.cs.fau.de/filepool/projects/coldboot/fares_coldboot.pdf

DDR3のコールドブート（インテルスクランブリング） https://www.dfrws.org/2016eu/proceedings/DFRWS-EU-2016-7.pdf

DDR2とDDR3のコールドブートの違い（2015）-DDR3の10秒の電力損失は、回復時のエラー率が非常に低いことを示しています。 https://youtu.be/ZHq2xG4XJXM?t=13m10s

Salessawi Ferede · Answer

実際に使用されている手法についての情報はありませんが、この学術論文は、Intel Skylake CPUに接続されたDDR4 DRAMへのコールドブート攻撃について詳しく説明しています。

この質問に最も関連する部分は次のとおりです。

コールドブート攻撃は、スクランブルされたDDR3とDDR4 DRAMの両方で依然として非常に実行可能です。インテルのDDR4コントローラーに実装された新しいスクランブラーは、より多くのデータ難読化を提供しますが、このペーパーは、これらがまだ回避できることを示しています。
揮発性：DRAMメーカーは、新世代のメモリモジュールであっても、リフレッシュレートに影響を与えずにコンデンサの「ボリューム」を大幅に削減することはできません（これは、以前の多くの世代のDRAMで固定されていました）。このため、DDR3およびDDR4 DRAMモジュールは、冷却されて別のマシンに転送された場合でも、コンテンツのかなりの量を維持します。このペーパーでは、DDR4 DRAMに対してこれがどのように行われたかを報告しています。