odzyskiwanie skasowanej partycji TrueCrypt
studium przypadku:
dysk twardy w całości zaszyfrowany za pomocą TrueCrypt - 1 partycja TC i nic wiecej przypadkowo usunięta została partycja TC - gedit nie potrafił operacji odwrócić opisana metoda oczywisce zadziala takze dla kilku partycji - trzeba tylko bedzie uwazniej szukac odpowiednich sektorow problem przywrocenia partycji polozyl na łopatki kilka osob, w tym bieglego sądowego, wiec postanowiłem zapisać krótkiego tutka dla potomnych - moze się przyda wszystko o czym pisze wykonalem pod Linem, ale DMDE ma także wersje Windows i Mac OS, menu są analogiczne krok pierwszy - ZROBIC NATYCHMIAST kopie binarna dysku i najlepiej na niej pracowac np programem dd i zamontowac obraz krok drugi - pobieramy darmowy program DMDE i go odpalamy z konsoli Kod:
sudo ./dmde
mam nadzieję, że komuś to może pomóc |
Absolutnie największym problemem jest krok pierwszy. Zwykle decyzja o przeprowadzeniu reszty procedury (swoją drogą - respect za pomysł, prosty a nie wpadłbym na niego :spoko:) zapada, kiedy na dysku jest już sieczka.
Swoją drogą, o ile pamiętam budowę partycji i kontenerów TC, jeśli tylko początek i koniec będą nieruszone, to ewentualne nadpisanie innych obszarów będzie skutkowało jedynie utratą zapisanych tam danych, ale możliwość zamontowania pozostanie? |
Zależy od trybu pracy szyfru. W przypadku XTS nie ma ciągłości i stracimy tylko blok. W przypadku innych trybów trzeba by poszukać.
|
teoretycznie najwazniejszy jest koniec kontenera - tam jest truecryptowy naglowek (chyba 512 blokow)
tak znalazlem w jednym opisie natomaist w innym znalazlem info, ze najwazniejsze jest 65536 pierszych bajtow reszta nie powinna miec znaczenia dla ciaglaosci kontenera ale nikt nie gwarantuje, ze tak jest w istocie natomaist pocieszajace jest to, ze partycja TC zaczyna sie tak daleko na dysku, nawet spartycjonowanie dysku od nowa nie powinno naruszyc ciaglosci odzyskiwanego kontenera |
Nie rozumiesz. W trybie pracy XTS kolejne bloki są szyfrowane bez wiązania z poprzednim jak to się dzieje w innych trybach pracy. Jeżeli stracisz blok to nie ma to wpływu na kolejne o nim. Jeżeli zastosowali inny tryb pracy, który ma tę wadę, że wartość dodatkowa jest dziedziczona z poprzedniego boku, to przy uszkodzeniu poprzedniego będzie problem z rozszyfrowaniem kolejnych. Później wrzucę linka do opisów pracy popularnych trybów.
TC na początku trzyma pewnie wartości taka jak ziarno to funkcji haszującej itd. Jeżeli to uszkodzisz, to baj baj... |
DMDE bardzo dobry, ze dwa razy odzyskałem z dysku usuniętą partycję, program przy odpowiedniej opcji sam wykrywa struktury.
|
Ilość załączników: 1
Tutaj fajnie opisane niektóre tryby pracy.
http://www.crypto-it.net/pl/teoria/t...blokowych.html Załącznik 72500 W tym przypadku blok szyfrogramu z poprzedniego bloku jest mieszany z blokiem szyfrogramu po deszyfracji (używany jako wektor inicjujący). Jeżeli masz uszkodzony poprzedni blok to dupa. |
Cytat:
Cytat:
|
W niektórych trybach to po prostu połowa hasła :-)
|
Wszystkie czasy w strefie CET. Aktualna godzina: 10:54. |
Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2024, vBulletin Solutions Inc.