Forum CDRinfo.pl

Forum CDRinfo.pl (https://forum.cdrinfo.pl/)
-   Komputery - oprogramowanie i sprzęt (https://forum.cdrinfo.pl/f113/)
-   -   odzyskiwanie skasowanej partycji TrueCrypt (https://forum.cdrinfo.pl/f113/odzyskiwanie-skasowanej-partycji-truecrypt-94974/)

nimal 01.09.2015 10:20

odzyskiwanie skasowanej partycji TrueCrypt
 
studium przypadku:

dysk twardy w całości zaszyfrowany za pomocą TrueCrypt - 1 partycja TC i nic wiecej
przypadkowo usunięta została partycja TC - gedit nie potrafił operacji odwrócić
opisana metoda oczywisce zadziala takze dla kilku partycji - trzeba tylko bedzie uwazniej szukac odpowiednich sektorow

problem przywrocenia partycji polozyl na łopatki kilka osob, w tym bieglego sądowego, wiec postanowiłem zapisać krótkiego tutka dla potomnych - moze się przyda

wszystko o czym pisze wykonalem pod Linem, ale DMDE ma także wersje Windows i Mac OS, menu są analogiczne

krok pierwszy - ZROBIC NATYCHMIAST kopie binarna dysku i najlepiej na niej pracowac
np programem dd i zamontowac obraz

krok drugi - pobieramy darmowy program DMDE i go odpalamy z konsoli
Kod:

sudo ./dmde
  1. wczytujemy nasz feralny dysk
  2. powiekszamy okno na cały ekran - będzie więcej widać :)
  3. jedziemy sektory od początku - pierwsze są puste (zera w podglądzie heksadecymentarnym)
  4. dane powinny się zacząć od 2048 bloku
  5. zapisujemy numer bloku, od którego zaczynają sie dane (jest to bezwładna sieczka bitowa, dlatego zwykłe szukanie nagłówka partycji nic nie daje)
  6. przewijamy ekran do samego końca i jedziemy w górę szukając ostatniego bloku z danymi (po nim znowu są zera)
  7. zapisujemy numer bloku
  8. teraz z menu wybierany "kopiuj sektory" lub analogiczne polecenie zależnie od używanej wersji językowej DMDE
  9. podajemy jako początkowy i końcowy spisane w powyższym kroku numery
  10. jako plik docelowy wybieramy "costam.tc" (w zasadzie jest to dowolne, rozszerzenie TC ulatwia tylko poźniejsze montowanie) na odpowiednio pojemnje partycji (wielkość tworzonego pliku odpowiada wielkości skasowanej partycji! jest widoczna w oknie)
  11. klikamy zapisz, potwierdzamy i czekamy (nawet kilka godzin - zależnie od wielkości utraconej partycji)
  12. można wyłączyć DMDE i włączyć TrueCrypt
  13. normalnie montujemy uzyskany plik jak zwykły kontener (nie jak partycje!)
  14. cieszymy się z odzyskanych danych
  15. bardzo

mam nadzieję, że komuś to może pomóc

Jarson 01.09.2015 10:46

Absolutnie największym problemem jest krok pierwszy. Zwykle decyzja o przeprowadzeniu reszty procedury (swoją drogą - respect za pomysł, prosty a nie wpadłbym na niego :spoko:) zapada, kiedy na dysku jest już sieczka.

Swoją drogą, o ile pamiętam budowę partycji i kontenerów TC, jeśli tylko początek i koniec będą nieruszone, to ewentualne nadpisanie innych obszarów będzie skutkowało jedynie utratą zapisanych tam danych, ale możliwość zamontowania pozostanie?

andy 01.09.2015 11:03

Zależy od trybu pracy szyfru. W przypadku XTS nie ma ciągłości i stracimy tylko blok. W przypadku innych trybów trzeba by poszukać.

nimal 01.09.2015 11:15

teoretycznie najwazniejszy jest koniec kontenera - tam jest truecryptowy naglowek (chyba 512 blokow)
tak znalazlem w jednym opisie
natomaist w innym znalazlem info, ze najwazniejsze jest 65536 pierszych bajtow
reszta nie powinna miec znaczenia dla ciaglaosci kontenera
ale nikt nie gwarantuje, ze tak jest w istocie

natomaist pocieszajace jest to, ze partycja TC zaczyna sie tak daleko na dysku, nawet spartycjonowanie dysku od nowa nie powinno naruszyc ciaglosci odzyskiwanego kontenera

andy 01.09.2015 18:16

Nie rozumiesz. W trybie pracy XTS kolejne bloki są szyfrowane bez wiązania z poprzednim jak to się dzieje w innych trybach pracy. Jeżeli stracisz blok to nie ma to wpływu na kolejne o nim. Jeżeli zastosowali inny tryb pracy, który ma tę wadę, że wartość dodatkowa jest dziedziczona z poprzedniego boku, to przy uszkodzeniu poprzedniego będzie problem z rozszyfrowaniem kolejnych. Później wrzucę linka do opisów pracy popularnych trybów.

TC na początku trzyma pewnie wartości taka jak ziarno to funkcji haszującej itd. Jeżeli to uszkodzisz, to baj baj...

Patrix 01.09.2015 18:47

DMDE bardzo dobry, ze dwa razy odzyskałem z dysku usuniętą partycję, program przy odpowiedniej opcji sam wykrywa struktury.

andy 01.09.2015 19:23

Ilość załączników: 1
Tutaj fajnie opisane niektóre tryby pracy.
http://www.crypto-it.net/pl/teoria/t...blokowych.html

Załącznik 72500

W tym przypadku blok szyfrogramu z poprzedniego bloku jest mieszany z blokiem szyfrogramu po deszyfracji (używany jako wektor inicjujący).

Jeżeli masz uszkodzony poprzedni blok to dupa.

Jarson 02.09.2015 08:43

Cytat:

Napisany przez nimal (Post 1335127)
teoretycznie najwazniejszy jest koniec kontenera - tam jest truecryptowy naglowek (chyba 512 blokow)
tak znalazlem w jednym opisie
natomaist w innym znalazlem info, ze najwazniejsze jest 65536 pierszych bajtow
reszta nie powinna miec znaczenia dla ciaglaosci kontenera
ale nikt nie gwarantuje, ze tak jest w istocie

A to nie jest tak, że pierwsze bajty mają znaczenie przy zwykłych zaszyfrowanych kontenerach i partycjach, a ostatnie w przypadku partycji ukrytych?

Cytat:

Napisany przez andy (Post 1335176)
Tutaj fajnie opisane niektóre tryby pracy.
http://www.crypto-it.net/pl/teoria/t...blokowych.html

Załącznik 72500

W tym przypadku blok szyfrogramu z poprzedniego bloku jest mieszany z blokiem szyfrogramu po deszyfracji (używany jako wektor inicjujący).

Jeżeli masz uszkodzony poprzedni blok to dupa.

Zaraz, zaraz - a co w tym przypadku oznacza wektor inicjujący? Czy aby nie początek konkretnego zaszyfrowanego pliku?

andy 02.09.2015 10:13

W niektórych trybach to po prostu połowa hasła :-)


Wszystkie czasy w strefie CET. Aktualna godzina: 23:39.

Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2024, vBulletin Solutions Inc.