Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Как найти программу в памяти

Обновлено: 23.01.2025

Почему Одноклассники забивают память телефона? Что делать, если приложение Одноклассники занимает много места?

Размер приложения Одноклассники может внезапно стать внушительным. Многие пользователи отмечают, что за продолжительный период времени Одноклассники стали забивать память, а их размер увеличился до нескольких гигабайт. Расскажем, почему это происходит, и как очистить память на мобильном устройстве.

Почему Одноклассники забивают память?

Приложение Одноклассники, как и любая другая программа, за продолжительное время использования накапливает в себе различные данные. Чем дольше владелец пользуется приложением, чем больше оно начинает весить, следовательно, и забивать память. Основные причины того, почему Одноклассники занимают так много места, заключаются в следующем:

Что делать, если Одноклассники забивают память?

Очистить память и уменьшить размер приложения Одноклассники необходимо комплексно, в несколько шагов. В зависимости от того, как именно владелец использует это приложение (например, часто смотрит видео или скачивает много изображений) разные шаги будут очищать разное количество памяти. Например, кэш может быть небольшим, а папка со скачанными фотографиями весить более гигабайта.

Очистить фотографии. Все скачанные изображения, а также загруженные в чатах фотографии хранятся в папке по следующему пути:

Одноклассники забивают память телефона

Чтобы очистить ненужные фотографии в этой папке, не стоит удалять саму папку, так как из-за этого могут возникнуть проблемы при дальнейшем скачивании файлов. Удалить изображения необходимо следующим образом:

Эти же фотографии можно удалить и с помощью галереи. Для этого необходимо:

Очистить кэш приложения. Очистить кэш приложения Одноклассники можно двумя способами, которые при этом можно совместить. Чтобы очистить кэш в настройках телефона, необходимо:

Очистить кэш Одноклассников

Чтобы очистить кэш через приложение Одноклассники, пользователю необходимо:

Очистить кэш Одноклассников

Переустановить Одноклассники. Если приложение Одноклассники по-прежнему забивает память, его необходимо переустановить. При этом какие-либо важные данные профиля пользователя не исчезнут. Ему просто придется вновь зайти в свою учетную запись после повторной установки приложения.

Этичный хакинг и тестирование на проникновение, информационная безопасность

При поиске информации на компьютере нужно помнить, что она размещена не только в постоянных хранилищах (твердотельные накопители, жёсткие диски, сменные носители и т. д.), но и в оперативной памяти, в процессах, которые её обрабатывают.

Информация при размещении на жёстком диске и в оперативной памяти далеко не всегда одинакова:

  • на жёстком диске она может быть зашифрована, а в оперативной памяти — нет (пример: на зашифрованном диске VeraCrypt хранится текстовый файл с паролями, который открыт в текстовом редакторе — в этом случае в оперативной памяти пароли из этого файла будут находится в виде простого текста)
  • информация может создаваться в процессе вычислений, либо получения данных из сети (в этом случае исходная информация отсутствует в постоянных хранилищах)

Анализ содержимого (дампа) запущенного процесса часто используется в обратной инженерии когда исходный файл зашифрован: для выполнения файл всё равно должен находится в оперативной памяти в расшифрованном виде, поэтому анализ запущенного процесса облегчает обратный инженеринг.

Можно придумать и другие способы навыка анализа и поиска по оперативной памяти:

  • выявление приложений, которые следят за буфером обмена
  • оценка качества программ, предназначенных для хранения паролей — если в запущенном виде такие программы содержат пароли в оперативной памяти в виде простого текста, то такими программами пользоваться категорически не рекомендуется
  • поиск приложения, содержащего определённые строки или подключающегося к определённому хосту

В этой статье я расскажу о программе mXtract — это наступательный инструмент для тестирования на проникновение, его главная цель — это сканировать оперативную память в поисках приватных ключей, IP адресов и паролей используя регулярные выражения.

То есть эту программу можно использовать как в качестве инструмента последующей эксплуатации для поиска чувствительных данных в оперативной памяти на взломанных системах, так и для целей анализа, оценки приложений на своём собственном компьютере.

  • ищет в запущенных процессах строки по регулярным выражениям. Можно указать сразу несколько регулярных выражений
  • можно выполнять поиск по одному процессу или сразу по всем запущенным процессам
  • показывает найденные результаты в понятном виде

Для установки mXtract в Kali Linux выполните команды:

Для установки mXtract в BlackArch выполните команду:

У программы mXtract довольно много опций, обязательной является одна из двух: -r= или -wm. Если вы хотите выполнить поиск в оперативной памяти определённых строк, то нужно использовать опцию -r=, после которой нужно указать путь до файла, содержащего одно или несколько регулярных выражений. Если вы хотите записать всю информацию, которую процесс имеет в оперативной памяти, то используйте опцию -wm. Эти опции можно использовать и одновременно, тогда будет выполнен поиск, а также будут сохранены дампы всех процессов (даже не совпавшими с условиями поиска).

Итак, начнём с поиска строк в процессах. Вместе с программой поставляется файл example_regexes.db, который содержит следующее регулярное выражение:

Оно примерно соответствует IPv4 адресам.

В этой команды значение опций следующее:

  • -r=/usr/share/doc/mxtract/example_regexes.db — путь до файла с регулярными выражениями
  • -e означает просканировать файлы рабочего окружения процесса
  • -i нужна для показа подробной информации о Процессе/Пользователе
  • -d=/tmp/output/ — пользовательская директория вывода. При использовании опции -wm, в неё сохраняются дампы процессов. Также в неё сохраняется файл с результатами, если используется опция -wr.
  • -wr — нужна для записи найденных совпадений в файл (появится в Директории вывода)

Пример вывода при работе программы:


Эти IP адреса, которые содержит процесс NetworkManager:


Эти IP из процесса Writer офисного пакета LibreOffice (хотя это не означает, что программа соединена хотя бы с одним из них):


В результате запуска предыдущей команды будет создан файл /tmp/output/regex_results.txt с найденными совпадениями строк.

Поскольку сам автор программы говорит, что «ваши результаты настолько хороши, насколько хороши ваши регулярные выражения», то настоятельно рекомендуется изучить статью «Регулярные выражения и команда grep».

Рассмотрим несколько сценариев, которые я смог придумать для использования поиска по оперативной памяти. Если у вас есть свои идеи, то делитесь ими в комментариях.

Оценка качества программ, предназначенных для хранения паролей

Программы могут хранить пароли в качестве своей основной функции (разные менеджеры паролей), либо хранить пароли для удобства пользователя (FTP клиенты, веб-браузеры и т. д.). Также вы можете тестировать различные способы хранения паролей (например, в простом текстовом файле, но на зашифрованном диске).

Вместо регулярных выражений можно указать буквальные строки для поиска. В качестве этих строк вы можете записать несколько паролей. Каждое регулярное выражение должно быть на отдельных строках. Например, можно создать файл passwords.db и записать туда:

Кстати, что касается букв национальных алфавитов (всё, кроме английских букв), скорее всего, они обрабатываются компьютером в той или иной кодировке, поэтому вряд ли удастся найти буквальное совпадение строк — сначала нужно записать строки в виде последовательности символов в нужной кодировке).

После этого можно запустить поиск по содержимому процессов в оперативной памяти:

К примеру, пароли в открытом текстовом файле, даже если он на зашифрованном разделе, прекрасно находятся таким методом.

Поиск программ, имеющих доступ к буферу обмена

Во-первых, нужно помнить, что данные, которые скопированы в буфер обмена, довольно часто доступны в виде простого текста (хотя зависит от программ). Во-вторых, таким образом можно найти программу, которая без вашего ведома следит за буфером обмена.

Создадим файл clipboard.db и запишем в него любую уникальную строку, например:

Скопируем её в буфер обмена и запустим сканирование процессов:

Вы сможете обнаружить программы, которые содержат эту строку (на скриншоте легитимная программа — я взял её просто в качестве примера):


Поиск паролей и ключей в запущенных процессах (редакторы кода, веб-сервер)

В недавно рассмотренной статье «Как найти все пароли и ключи в большом количестве файлов» с помощью программы DumpsterDiver мы среди огромного количества строк искали те из них, у которых высокая энтропия и которые, следовательно, могут оказаться паролями, ключами и другими секретами.

Можно совместить работу этих двух программ. Сделаем так, чтобы mXtract извлекала практически все строки, для этого создадим файл strings.db и скопируем в него примерно следующее:

То, что в квадратных скобках — это символы, которые могут встречаться в строке (отредактируйте под ваши условия), а в фигурных скобках минимальный размер строки (также отредактируйте при необходимости). Запускаем:

А теперь с помощью DumpsterDiver ищем строки с нужной нам энтропией:

Это очень грубый концепт, в реальной ситуации нужна более тонкая настройка DumpsterDiver.

Как узнать, какая программа подключалась к конкретному хосту

В статье «Как проверить открытые порты на своём компьютере» рассказывается, как проверить, какие порты прослушиваются, какие программы прослушивают эти порты. С помощью упомянутых там инструментов, можно посмотреть и другие сетевые соединения.

А что если подозрительное соединение к определённому хосту найдено уже после его завершения (например, в файле с сохранёнными сетевыми пакетами)? В этом случае порт уже закрыт, но если процесс по-прежнему запущен, есть шанс его выловить. Для этого в качестве строки для поиска укажите интересующее имя хоста или IP адрес.

Поиск программы, содержащей определённые данные

Описанный выше приём можно использовать не только для сетевых адресов, но и для любых строк. Таким образом можно найти программу, которая сохраняет определённые файлы, показывает окна с определёнными строками и пр.

Извлечение содержимого буфера обмена

В зависимости от используемого программного обеспечения, вы можете найти программу, которая хранит буфер обмена (скопированный текст) в виде обычного текста. Используя опцию -p= можно указывать идентификатор (PID) одного процесса для сканирования. Если правильно настроить регулярные выражения, то можно извлекать содержимое буфера обмена.

Для детального анализа содержимого процесса пригодится опция -wm — при её указании будут сохранены сырые данные полного содержимого каждого процесса. Либо одного процесса, если указана опция -p=.

Как узнать идентификатор интересующего процесса

Кстати, если вы хотите сканировать определённый процесс, то его номер вы можете найти командами вида:

Обратите внимание на скобки — они ничего не меняют по сути, но благодаря им процесс с grep не попадает в выводимый список.

Чтобы получить только номер, можно запустить так:

Заключение

При запуске сканирования процессов, иногда mXtract зависает и перестаёт нормально работать до следующего перезагрузки системы.

При составлении регулярных выражений при использовании подстановочных символов (точка и звёздочка) у меня возникает «ошибка сегментирования».

Компьютер, телефон, планшет и прочие цифровые носители информации сегодня есть у каждого, от мала до велика. Неудивительно, что, как это бывает со всем в нашей жизни, с их помощью не только созидают разумное, доброе, вечное, но и делают не совсем правильные и хорошие вещи. В случае нелегального использования цифрового устройства или же когда злоумышленник использовал такое устройство при подготовке или совершении злодеяния, данные на устройстве могут послужить подтверждением его вины — так называемым цифровым доказательством.

Исчезающие улики

Что происходит, когда на месте преступления обнаруживается работающий компьютер? В большинстве случаев следователь просто его выключит. В дальнейшем изучать этот компьютер будет эксперт по исследованию компьютерной информации, а вовсе не следователь. Все, что останется «на руках» у эксперта, — это жесткий диск. К сожалению, при таком подходе навсегда утрачивается доступ к огромному количеству «эфемерных» улик, безвозвратно исчезающих при выключении питания. Эти улики — данные, хранящиеся в ОЗУ.

Все, что нужно, чтобы не потерять эти и многие другие улики, — сохранить образ оперативной памяти в файл.

Что можно найти в оперативной памяти

Если хорошенько поискать, в оперативной памяти компьютера можно найти самые неожиданные вещи. К примеру, ключи, с помощью которых получится мгновенно расшифровать содержимое криптоконтейнеров TrueCrypt, BitLocker и PGP Disk. Такая функция присутствует, например, в программе отечественной разработки Elcomsoft Forensic Disk Decryptor. А вот атака на зашифрованные данные «в лоб» займет миллиарды лет — в конце концов, профессионалы своего дела работали долгие годы, стараясь защититься в первую очередь именно от атаки перебором.

Что можно «добыть» из оперативной памяти

Что можно «добыть» из оперативной памяти

Как снимается образ памяти

Сохранение содержимого оперативной памяти компьютера для последующего изучения — необходимый шаг в работе «цифрового» криминалиста. Создание образа памяти занимает минуты и при должном уровне технического обеспечения осуществляется одной кнопкой. При этом «должный уровень технического обеспечения» расшифровывается очень просто: достаточно любой USB-флешки, способной полностью вместить содержимое оперативной памяти, и небольшой программы — к примеру бесплатной утилиты российской разработкиBelkasoft Live RAM Capturer.

При снятии образа оперативной памяти следователю нужно учитывать ряд тонкостей. Например, для этого нельзя использовать программы, запущенные в обычном пользовательском режиме, и вот почему.

Многие программы, включая популярные многопользовательские игры, системы безопасности, а также вредоносное ПО, защищают свои процессы от исследования с помощью отладочных инструментов (например, игра Karos). В таких программах используются активные системы противодействия отладке, способные обнаружить и предотвратить попытку других программ считать данные из защищенных областей памяти. В лучшем случае попытка использования отладчика не удается — вместо интересующей исследователя информации в защищенной области обнаруживаются нули или случайные данные. В худшем случае происходит зависание или перезагрузка компьютера, делающие дальнейшее исследование невозможным.

Поэтому запуск утилиты, работающей в пользовательском режиме, с определенной вероятностью приведет к тому, что интересующие эксперта данные извлечь не удастся, а при самом плохом развитии событий они будут безвозвратно уничтожены. Для предотвращения подобной ситуации криминалистам приходится использовать специализированные программы и инструменты — например CaptureGUARD Gateway, WindowsSCOPE стоимостью порядка пяти тысяч долларов или бесплатный Belkasoft Live RAM Capturer. Обойти активные виды защиты от отладки способны только инструменты, запущенные в привилегированном режиме ядра операционной системы. Специализированные программы включают 32- и 64-разрядные драйверы, работающие в режиме ядра и позволяющие корректно обрабатывать области данных, принадлежащие защищенным процессам.

Многие платные (и весьма дорогие) криминалистические продукты (в основном зарубежного производства) имеют в своем составе программы, позволяющие снимать слепки памяти. При этом такие программы работают в пользовательском режиме и для реального использования криминалистом совершенно непригодны. Во время криминалистических конференций часто возникает вопрос: почему производители недешевых аналитических пакетов поставляют явно неработоспособные инструменты? Производители хранят молчание.

Захват слепка оперативной памяти — Belkasoft Live RAM Capturer

Захват слепка оперативной памяти — Belkasoft Live RAM Capturer

А если компьютер запаролен?

Снять образ памяти легко, если доступ к компьютеру открыт или если криминалисту известен пароль от любой действительной учетной записи. Но что, если доступ к компьютеру закрыт неизвестным паролем, а времени на его взлом катастрофически не хватает? В этом случае на помощь эксперту приходит методика, описанная австрийскими исследователями. Отвлечемся на минуту от расследования преступлений и посмотрим в сторону железа. В большинстве современных компьютеров есть один или несколько портов IEEE 1394, известных также под названиями FireWire или i.LINK. Стандарт FireWire описывает возможность прямого доступа к оперативной памяти компьютера через канал DMA. Что означает наличие «прямого доступа» к памяти? Для криминалиста это означает возможность скопировать ее содержимое независимо от того, закрыт компьютер паролем или нет.

Итак, если компьютер подозреваемого закрыт паролем, а криминалисту необходимо снять образ оперативной памяти, криминалист подключает собственный компьютер к компьютеру подозреваемого с использованием самого обычного кабеля FireWire. На компьютере криминалиста запускается программа (самые простые образцы, к примеру Inception или pyfw, написанный на языке Python, доступны в открытом доступе; впрочем, криминалисты используют более продвинутый софт), с помощью которой все содержимое оперативной памяти исследуемой машины скачивается на компьютер следователя. Этот способ можно опробовать самостоятельно. Например, пользователи Linux и OS X могут воспользоваться бесплатной утилитой Inception.

А что, если на компьютере подозреваемого нет порта FireWire? В этом случае криминалист может использовать собственную карту-адаптер. Если выбрать достаточно распространенную модель, то система подгрузит соответствующие драйверы автоматически. К сожалению, корректную работу нам обеспечит только адаптер с интерфейсом PCMCIA, CardBus или ExpressCard, так как только эти интерфейсы предоставляют прямой доступ к памяти компьютера. Адаптеры, работающие через USB, этой возможности лишены и для криминалиста непригодны. Наконец, в качестве курьеза можно привести ссылку на работу немецких исследователей, взломавших компьютер с использованием самого обычного телефона iPhone, — bit.ly/60FDdS.

Есть ли защита от атаки через FireWire? Способы защититься от такой атаки существуют, и они давно известны: требуется лишь тем или иным способом отключить поддержку FireWire в то время, когда компьютер «спит» или закрыт паролем. Компьютеры под управлением последних версий OS X делают это автоматически, блокируя драйверы FireWire , пока пользователь не зайдет на компьютер со своими логином и паролем. А вот в Windows и других операционных системах ситуация обратная: производители этих систем работу драйверов FireWire не блокируют; соответственно, даже Windows 8 со всеми последними обновлениями остается уязвимой.

Подробнее об атаке с использованием FireWire можно почитать здесь: bit.ly/EvKED,bit.ly/60FDdS

Ограничения

Анализ оперативной памяти не панацея. Природа оперативной памяти такова, что данные хранятся в ней лишь очень короткое время. Через несколько минут, в крайнем случае — часов (если компьютер не использовался) данные могут быть вытеснены или перезаписаны другой информацией. Поэтому снимать слепок памяти нужно «по свежим следам». А вот с анализом снятого образа можно не торопиться — файл с флешки уже никуда не денется.

Что дальше? Анализируем содержимое оперативной памяти

Образ оперативной памяти снят. Что дальше? Образ памяти, полученный с помощью правильного инструмента, может быть проанализирован одним из специализированных криминалистических продуктов. Исследование образа оперативной памяти компьютера позволяет криминалистам обнаруживать данные, не попадающие на жесткий диск, такие как переписка в чатах, общение в социальных сетях и играх, изображения, историю работы в браузере, данные реестра, переговоры в онлайновых многопользовательских играх и многое другое.

Существуют инструменты для восстановления анализа изображений, которые просматривал подозреваемый (кстати, с помощью такого инструмента был изобличен по крайней мере один педофил, вышедший на свободу после существенного срока. Тот же инструмент помог оправдать подозреваемого, которого оклеветала жена во время бракоразводного процесса). Наконец, существуют программы, с помощью которых можно восстановить информацию о сетевых соединениях, бывших активными в момент снятия образа.

Поиск и анализ фотографий

При ведении расследований, связанных с преступлениями на сексуальной почве, следователю важно узнать, какие изображения (фотографии) просматривал подозреваемый. Изучение жесткого диска помогает не всегда: интересующий следователя раздел может быть зашифрован, а в браузере может быть включен режим «приватности» (или «инкогнито» по версии Chrome). Суть подобных режимов одинакова во всех браузерах: никакая информация о действиях пользователя в интернете на жесткий диск не попадает. Соответственно, при выключении компьютера (или закрытии браузера) все данные пропадают.

Тем не менее где-то эти данные все же хранятся, и в этой ситуации анализ слепка оперативной памяти тоже может помочь. Изображения ищутся методом сигнатурного поиска. Этот механизм очень похож на то, как работают антивирусы: для поиска изображений используется набор сигнатур, которые встречаются в том или ином графическом формате. Скажем, в начале всех файлов в формате JPEG встречается сигнатура JFIF. Обнаружив сигнатуру, алгоритм анализирует соседние байты данных. Если данные указывают на то, что обнаруженный фрагмент принадлежит файлу в известном программе формате, алгоритм рассматривает набор данных в качестве заголовка файла, вычисляя его размер и параметры. Остальное — дело техники.

Выглядит просто? Действительно, реализовать подобный алгоритм несложно, и именно им пользуется подавляющее большинство разработчиков криминалистических программ. Но здесь имеется не просто подводный камень, а целый огромный подводный риф. Дело в том, что Windows далеко не всегда хранит большие объемы данных в виде непрерывной последовательности. Вместо этого операционная система записывает данные в любые свободные страницы памяти — и далеко не факт, что страницы эти будут расположены последовательно. Стандартный алгоритм сигнатурного поиска может обнаружить заголовок файла, но его содержимое стандартными способами будет восстановить невозможно. Именно поэтому стандартный алгоритм называется «наивным».

На помощь криминалисту приходит набор эвристических алгоритмов, собирающих фотографии из множества небольших фрагментов по принципу мозаики. Такие алгоритмы реализованы в отечественном криминалистическом пакете Belkasoft Evidence Center, причем сложность их реализации такова, что альтернатив в настоящий момент просто не существует. Результат здесь гарантируется не всегда, а работают такие алгоритмы в десятки раз медленнее обычного сигнатурного поиска. Впрочем, результат того стоит — ведь тратится дешевое машинное время, а не ручная работа эксперта.

Программы для поиска улик в памяти компьютера

Для анализа оперативной памяти эксперты используют следующие основные программы:

Бумажная работа

Работа эксперта-криминалиста лишь в малой части состоит из поиска и анализа улик. Заметная часть времени тратится на документирование процесса: это необходимо для того, чтобы найденные улики смогли быть представлены в суде в качестве вещественных доказательств.

Для того чтобы собранные улики превратились в твердую доказательную базу, эксперту приходится не только подробно документировать каждый свой шаг, но и быть готовым выступить в суде, доказывая обоснованность использования тех или иных методов и инструментов.

Использование программ для снятия образа оперативной памяти неизбежно оставляет следы в памяти компьютера. Сама программа занимает место в памяти, а раз так — какое-то количество оригинальных данных будет вытеснено (перезаписано). Поэтому нужно использовать программу с минимальным объемом занимаемой оперативной памяти, а сам факт частичной перезаписи содержимого требуется тщательно задокументировать. Еще совсем недавно суды отказывались принимать в качестве вещественных доказательств данные, которые были изменены в процессе их получения. Сейчас ситуация меняется: суды начинают понимать, что в некоторых случаях невозможно сделать омлет, не разбив яйцо.

Анализ работающего компьютера или исследование содержимого жесткого диска?

Как было сказано выше, анализ запущенной машины неизбежно влияет на содержимое оперативной памяти. Во многих случаях могут измениться и данные, записанные на жестком диске. И тем не менее в некоторых случаях специалисты не спешат выключать компьютер.

Когда же необходимо проводить анализ запущенного компьютера? Как правило, к такому анализу прибегают в случаях, когда на жестком диске компьютера не ожидают найти существенных улик, а вот исследование данных, доступных через открытые на компьютере сетевые соединения, способно принести заметные дивиденды.

При выключении компьютера теряется доступ к внешним сетевым ресурсам и VPN-сессиям. Если компьютер использовался как терминал, а реальные данные хранятся где-то на удаленном сервере, эксперту приходится анализировать технику вживую. С таким способом анализа связано большое количество рисков, а для его проведения требуется эксперт высочайшей квалификации (и разрешение суда). Соответственно, прибегают к исследованию запущенного компьютера нечасто.

Конфискуем компьютер

Поставим себя на место эксперта-криминалиста. Имеется работающий компьютер, нам нужно исследовать его содержимое. Наши действия?

До недавнего времени компьютер выключали (зачастую — просто обесточивали, чтобы не дать сработать программам, очищающим лог-файлы при завершении рабочей сессии), после чего из него извлекали все жесткие диски, которые подключали к устройству, блокирующему операции записи. С дисков снимали виртуальные образы, и уже с ними в спокойной обстановке работал эксперт.

С развитием технологии этот способ устарел. Вот, к примеру, какие рекомендации дает официальная инструкция ACPO (Association of Chief Police Officers) британским полицейским:

  • Провести оценку рисков. Есть ли необходимость и возможность снять копию эфемерных данных?
  • Если возможность существует, установить устройство для снятия слепка оперативной памяти (флешка, внешний диск и тому подобное).
  • Запустить программу для снятия образа памяти.
  • По завершении работы программы корректно остановить работу устройства.
  • Извлечь устройство, использованное для снятия образа памяти.
  • Проверить корректность сохраненного образа (для этого в обязательном порядке используется компьютер следователя, а не компьютер, который анализирует эксперт).
  • После проверки снятого образа немедленно перейти к процедуре выключения компьютера.

Что можно узнать о телефоне, положив его в морозилку

Забавное исследование провели немецкие ученые. При анализе оперативной памяти телефона под управлением операционной системы Android они использовали бытовую морозильную камеру (bit.ly/Xa9XXN).

Идея заморозитьтелефон связана с появлением в системе Android 4.0 возможности шифрования разделов. Эта функция не позволяет исследователю получить доступ к информации, записанной в заблокированном телефоне, без введения корректного пароля. Поскольку подбор пароля — дело длительное и неблагодарное, исследователи решили поискать способ обойти защиту.

Точно так же, как и в ставших уже привычными криптоконтейнерах, ключи для расшифровки записанных в телефоне данных хранятся в оперативной памяти устройства. Если бы существовала возможность извлечь эти ключи, исследователи смогли бы использовать их для расшифровки содержимого устройства.

Возможность снять образ оперативной памяти устройства под управлением Android существует: для этого телефон переводится в специальный отладочный режим fastboot; в память инсталлируется специальная программа, и образ оперативной памяти можно скачать через USB. Проблема здесь в том, что при перезагрузке телефона в отладочный режим содержимое оперативной памяти успевает обнулиться.

Чтобы замедлить процесс обнуления памяти, ученые положили телефон в морозилку, заморозив его до температуры –15 градусов. При такой низкой температуре ячейки памяти меняют состояние очень медленно. Соответственно, при выключении охлажденного телефона и моментальной его перезагрузке в отладочный режим содержимое оперативной памяти не успевает обнулиться. Эксперимент оказался удачным: исследователям удалось извлечь из телефона двоичные ключи, с помощью которых были зашифрованы разделы с пользовательскими данными.

Подробнее об этом эксперименте можно прочитать на сайте университета. Там же доступен пакет программ FROST, с помощью которого скачивается образ оперативной памяти и извлекаются крипто-ключи: bit.ly/Xa9XXN

Заключение

Работа «цифрового» криминалиста интересна и необычна. Квалифицированных экспертов не хватает всегда и везде. На одной американской конференции начальник городского полицейского управления сетовал на плотность графика компьютерных криминалистов: на исследование каждого конфискованного устройства эксперт может уделить не более сорока минут. Что можно успеть сделать за сорок минут? С использованием программ, описанных в этой статье, — очень и очень немало.

Переполнена внутренняя память телефона — что делать и как освободить

Проблема с нехваткой внутренней памяти актуальна в первую очередь для владельцев бюджетных устройств. У таких аппаратов, как правило, небольшой объем памяти. Телефоны средней ценовой категории и флагманские модели оснащаются накопителями на 64 ГБ, 128 ГБ и больше. Такого объема памяти достаточно и для ресурсоемких игр, и для хранения медиафайлов.

Впрочем, даже встроенный накопитель с внушительным объемом памяти можно достаточно быстро забить под завязку, и тогда владелец телефона однажды не сможет ничего больше установить на него.

Если в телефоне переполнена внутренняя память, как освободить место для хранения новых данных и установки приложений? Рассказываем о том, как очистить память устройства разными способами.

Виды памяти на телефоне

Для начала разберемся, какие виды памяти есть в современных мобильных устройствах и где находится внутренняя память телефона.

Как правило, в Android-устройствах используются три вида памяти:

  • ОЗУ (RAM) — это оперативная память телефона. Образно ее можно назвать головным мозгом устройства. Этот вид памяти нужен для правильной и стабильной работы запущенных программ и содержит временную информацию. Чем больше в телефоне объем оперативной памяти, тем быстрей он работает, шустрее запускает приложения и не виснет. Если телефон начинает подтормаживать, медленнее открывать приложения и игры — это признак нехватки оперативной памяти.
  • ПЗУ (ROM) — внутренняя, или пользовательская память. Здесь хранятся установочные файлы приложений, фотографии, видео, а также аудиофайлы.
  • карта памяти — дополнение к внутренней памяти. Карта памяти позволяет расширить хранилище. На нее можно перенести медиатеку, которая, как правило, занимает внушительную часть встроенной памяти. Раньше на карту памяти пользователь мог переносить и установленные приложения, но теперь практически все смартфоны лишены этой возможности.

Как узнать, сколько свободной внутренней памяти осталось в телефоне

Чтобы проблема недостатка памяти не стала полной неожиданностью, лучше быть в курсе того, сколько свободного места есть во встроенном накопителе.

Как это сделать:

  • откройте приложение «Настройки»;
  • найдите вкладку «Память» и откройте ее;
  • дождитесь, когда система подсчитает объем занятой и свободной памяти.


Данные пользователя в хранилище разделены на категории:

  • изображения;
  • видео;
  • аудио;
  • архивы;
  • документы;
  • установочные пакеты;
  • приложения.

Некоторые производители позволяют прямо из вкладки «Память» перейти в интересующий раздел, например, «Приложения» и посмотреть, какой объем памяти занимает та или иная программа.

Узнать, сколько свободного места осталось в хранилище, также можно через приложение «Файлы». Здесь представлена полная информация по всем данным, хранящимся на телефоне: приложениям, играм, изображениям, документам, аудио и видеофайлам.


Что делать, если переполнена внутренняя память телефона Андроид? Выход из сложившейся ситуации один — освободить место, удалив все ненужное, или перенести файлы, занимающие большой объем, например, видео, аудио и изображения, на карту памяти.

Как освободить внутреннюю память телефона — все способы

Очистить внутреннюю память устройства можно как штатными средствами, так и при помощи специальных приложений-чистильщиков.

Удаление лишних приложений

Посмотрите, какими приложениями и играми вы не пользуетесь длительное время и решите, так ли уж они нужны. Удалите ненужный софт. Если какая-то из удаленных программ вдруг понадобится, ее легко можно будет восстановить из библиотеки Play Market.

Как освободить внутреннюю память встроенными средствами телефона

Совет: для очистки внутренней памяти лучше использовать встроенные приложения для оптимизации телефона, поскольку они разработаны с учетом всех особенностей каждой модели.


Разберем, например, как очистить внутреннюю память телефона Хонор при помощи фирменной программы «Диспетчер телефона»:

  • запустите приложение;
  • нажмите на надпись «Оптимизация»;
  • дождитесь завершения процесса;
  • программа покажет, сколько работающих приложений было закрыто и какой объем памяти освободился;
  • для последующей очистки внутренней памяти нажмите на кнопку «Очистка памяти»;
  • программа произведет подсчет и предложит удалить ненужные файлы, данные приложений, повторяющиеся файлы, а также посоветует, какие данные можно переместить на карту памяти.


Кроме того, «Диспетчер телефона» подскажет, что еще можно сделать для более быстрой работы системы. Например, он может предложить автоматическое удаление ненужных файлов и покажет, какими приложениями давно не пользовались.


Если говорить о том, как освободить внутреннюю память телефона Самсунг, процесс в целом будет мало отличаться от того, как это делается на аппаратах Honor, Huawei, а также других производителей.

Удаление кэша

Кэш можно очистить при помощи диспетчера телефона, а также вручную. Чтобы очистить кэш определенного приложения или игры, нужно зайти в настройки телефона и выбрать вкладку «Приложения». Найдите нужную программу и нажмите по ее иконке. Откроется карточка приложения. Нам нужен пункт «Память». Нажимаем по нему и смотрим, какой объем памяти занимает кэш программы. Затем жмем на кнопку «Очистить кэш».


Перенос данных на карту памяти

Хорошо, если телефон оснащен большим накопителем на 128 или 256 ГБ. Этого объема хватит для современных игр, большого количества приложений, музыки и фотографий. Если аппарат оснащен накопителем объемом 64 ГБ и меньше, не обойтись без карты памяти. Она позволяет освободить внутреннюю память от данных, занимающих большой объем: изображений, видео и аудиофайлов. На карту памяти также можно переместить приложения и игры, но не все производители предоставляют эту возможность. Например, владельцы смартфонов Honor могут перенести на карту памяти лишь музыку, видео и изображения, а обладатели устройств Samsung имеют возможность перемещения на карту памяти приложений и игр, но только не системных.

Лучше не переносить на карту памяти приложения и игры.

Во-первых, карты работают медленнее внутренней памяти. Во-вторых, как только карта памяти будет извлечена из телефона, перемещенные на нее игры и приложения перестанут работать. Оставьте игры и программы во внутренней памяти, если не хотите столкнуться с такими проблемами, как потеря скорости и нестабильная работа.

Чтобы перенести внутреннюю память телефона на sd карту, нужно сделать следующее:

  • установите в аппарат карту памяти;
  • откройте приложение «Настройки» и перейдите в раздел «Приложения»;
  • найдите в списке нужную игру или программу и нажмите на ее;
  • в меню приложения найдите кнопку перемещения на карту памяти и нажмите ее;
  • дождитесь завершения процесса переноса.

Если кнопки перемещения нет, ваше устройство не поддерживает перенос приложений и игр на карту памяти. В этом случае можно использовать сторонние программы, такие как App2SD, но для этого на телефоне должны быть разблокированы root‑права.

Важно: root‑права не гарантируют работоспособность такого способа переноса приложений на карту памяти. Все манипуляции с телефоном вы проводите на свой страх и риск.

Как очистить внутреннюю память телефона при помощи программ-оптимизаторов

Есть много программ для быстрой очистки памяти, но многие из них приносят больше вреда, чем пользы. Они занимают много места, содержат раздражающую рекламу и зачастую сами значительно снижают производительность телефона.

Большинство таких программ по функциональности похожи, поэтому выбирать их приходится по наличию дополнительных опций и по интерфейсу. Самые популярные приложения для очистки внутренней памяти телефона, хорошо себя зарекомендовавшие у пользователей: SD Maid, CCleaner, Сleaner.

Как пользоваться программами-оптимизаторами на примере SD Maid

Это удобный инструмент для очистки о внутренней, а также оперативной памяти телефона с визуально простым интерфейсом.

  • сканирование на наличие мусора, дубликатов файлов, неиспользуемых приложений;
  • анализ памяти;
  • обзор устройства;
  • встроенный менеджер файлов;
  • поиск файлов;
  • заморозка и удаление приложений;
  • оптимизация системы;
  • создание пользовательских фильтров для дополнительных файлов.

На главном экране находятся кнопки запуска операций очистки базы данных, приложений, системы и мусора. Нажмите на зеленую кнопку «Сканирование» и дождитесь окончания процесса.


Далее для очистки системы от мусора нажмите на красную кнопку «Очистка». Можно удалять весь мусор сразу или выбрать отдельную папку.


Из минусов: платный доступ ко всем возможностям программы, но очищение от мусора доступно в бесплатной версии.

Дополнительные способы очистки внутренней памяти

Если вы много фотографируете, галерея может занимать приличный объем памяти. Перенесите содержимое галереи в облачное хранилище и включите синхронизацию с облаком. Теперь все изображения будут автоматически сохраняться в облачном хранилище, не занимая много места в памяти телефона. При необходимости можно в любой момент загрузить нужные фотографии или картинки на устройство.

Теперь вы знаете, как очистить внутреннюю память телефона и сможете сделать это в любой момент самостоятельно.

Читайте также:

      
  • Acpi bios irq что это
    •   
  • Как узнать версию автокада 2020
    •   
  • Lc 32sh130e прошивка usb
    •   
  • 1с вставить неразрывный пробел
    •   
  • Как группировать таблицу в ворде
  • Контакты
  • Политика конфиденциальности