Odpowiedzi:
Możesz znaleźć interesujące odniesienie do swojego punktu w tym dokumencie,
Trwałość pamięci : Identyfikacja sądowa i
ekstrakcja kluczy kryptograficznych (PDF ref)
Autorzy Volatility opisują hipotetyczny atak przeciwko TrueCrypt (Foundation, 2008), badając jego wewnętrzne struktury i zachowania (Walters i Nick, 2007). Oni robią nie opisuj jednak, jak zlokalizować różne struktury pamięci, ani też nie dyskutują o tym, że niektórzy z nich mogą one zostać odrzucone, przerywając tym samym łańcuch danych struktury, które prowadzą do klucza głównego, jeśli tylko pamięć zrzut jest dostępny do analizy.
...
W w innych dziedzinach analizy pamięci analitycy porzucili przestrzeń adresowa pamięci określonego procesu poprzez pobieranie stron z pamięci RAM i przestrzeni wymiany. Zrzuty są czasami wystarczające zweryfikować4, a nawet całkowicie zrekonstruować plik wykonywalny pliki (Kornblum, 2006). Według kilku artykułów (na przykład, patrz Schuster, 2006 i Carvey, 2007), te techniki są w stanie zidentyfikować trojany, rootkity i wirusy które są ukryte i / lub opancerzone w zrzutach pamięci systemu Windows.
więcej w gazecie.
To może być problem, ale to nie byłby jedyny problem. Nawet bez zamiany aplikacje mogą zapisywać pliki tymczasowe na dysku, nie wiedząc, że oryginalny plik był przechowywany w jakiś bezpieczny sposób. Jak edytor tekstu może automatycznie zapisywać dokument od czasu do czasu. I może odtwarzacz wideo może automatycznie konwertować pliki, które nie korzystają z jego rodzimego formatu, a także zapisać ten plik tymczasowy na dysku.
Ponadto wszystkie programy będą miały (część) plik we własnej pamięci, który może zostać zapisany na dysku podczas hibernacji (uśpienia).