Nejprve jsem pomocí google akademic našel články o LastPassu, správcích hesel a paměťové forensice. Byl to poslední, který mi připadal užitečnější.

Amari, K. (2009) Techniky a nástroje pro obnovení a analýzu dat z těkavé paměti.

Po získání porozumění extrahování a analýze paměti jsem vytvořil virtuální stroj Windows 7 s 2 GB RAM, nainstaloval některé prohlížeče, vytvořil několik účtů na různých webových stránkách, nainstaloval LastPass, restartoval stroj a zachytil výpis paměti pomocí DUMPIT (Hledat DUMP IT Výpis paměti). Analyzoval jsem výpis paměti pomocí SIFT Workstation, v terminálu jsem použil příkaz

  řetězce windows7.raw | grep „heslo“ > output.txt 

Zaměnit „heslo“ za e-mailové adresy, známá hesla falešných účtů, názvy webových stránek atd. Nenašel jsem nic, takže paměť byla čistá.

Poté jsem se přihlásil do LastPass a pomocí stejného nástroje jsem vzal další výpis paměti. Analýza tohoto souboru zvýraznila spoustu hašovaných hodnot, které potvrdily, co LastPass říká na svém webu - LastPass ukládá šifrované hash hodnoty do paměti.

Dále jsem se rozhodl přihlásit k webům a účtům, ale ne všechny z nich pouze náhodný počet a vzal jsem si další výpis paměti. Pomocí stejných metod jako předtím jsem našel dešifrovaná hesla, e-mailovou adresu a další informace, což znamená, že když navštívíte web, ke kterému má LastPass heslo, dešifruje jej a uloží do paměti, kterou váš prohlížeč použije. Rovněž bych měl uvést, že i když nepoužíváte LastPass a místo toho používáte prohlížeč zabudovaný do správců hesel, získáte stejné výsledky.

Takže byste mohli říci, že jsem na prvním místě potřeboval znát heslo, nehledal jsem jednoduše hledání „pass“ nebo v případě webů Google „Passwd“ na výpisu paměti dal hesla.

Pokud to udělám znovu, udělal bych všechny stejné kroky výše, ale odhlásil bych se z účtu Windows a do jiného účtu, abych zjistil, zda mohu získat hesla z tohoto výpisu paměti, mám podezření, že to znamená, že můžete přihlaste se do veřejného počítače a získejte hesla předchozích uživatelů odtud výpis paměti.

Řekl bych, že LastPass je bezpečný, dokud se nepřihlásíte na web, je velmi nepravděpodobné, že by někdo mohl dešifrovat hašované hodnoty. Nakonec nepoužívejte LastPass ani jiné heslo na veřejném počítači.

Snadným způsobem, jak v takovém výzkumu pokračovat, by bylo použití některých nástrojů, které se běžně věnují podvádění her, analýzou a přímou úpravou obsahu cílové softwarové paměti. Vyhledejte ve svém oblíbeném vyhledávacím stroji věci jako „ podvádění při hledání herní paměti “ a měli byste najít několik z nich.

Programy, na které odkazuji, pořídí snímek zacílit na virtuální paměť aplikace a poté vám umožní:

• Vyhledat konkrétní hodnotu (v některých případech včetně textové hodnoty, která by vás určitě měla zajímat, protože by vám umožnila hledat vaše heslo) ,
• Porovnat snímky pořízené v různých časech za účelem analýzy změn.

Následující vyhledávání Google vytváří řadu akademických prací.

  inurl: \. edu \ / filetype: správce hesel pdf  

Jako test můžete spustit bulk_extractor na obrázku paměti a hledat kombinaci známého uživatelského jména a hesla.