У меня был жесткий диск объемом 1 ТБ, который я создал том объемом 40 ГБ TrueCrypt (не скрытый) (я не делал резервную копию заголовка, но у меня все еще есть ПАРОЛЬ). Жесткий диск потерял раздел, и я попробовал несколько программ восстановления, которые не смогли найти том. В данный момент диск не отформатирован, и я взял его образ, но мне было интересно, как найти том.
3 ответа
1
Что ж, если ваш раздел был потерян, то, возможно, ваш 40-Гбайт фрагмент данных TrueCrypt был также скомпрометирован в том же событии ...
Ручное решение:
Вы можете написать скрипт, который: mount ваше зеркальное отображение со смещением, как если бы оно было разделом, затем вызывает TrueCrypt со всеми соответствующими параметрами и вашим паролем, затем, если TrueCrypt возвращает 0, остановитесь, и вы счастливы, в противном случае попробуйте снова с следующее смещение, пока не перепробовал все изображение.
Эксперимент:
Если вышеперечисленное не работает, вам следует выполнить следующий тест. Воспроизведите ту же проблему с новым жестким диском (создайте зашифрованный раздел, затем удалите MBR) и попробуйте там тот же подход. Если это работает, то, вероятно, ваш кусок данных был скомпрометирован, если это не так, то либо у моего подхода, либо у вашей реализации есть недостаток.
0
Один из подходов состоит в том, чтобы создать идентичные разделы на идентичном диске (или на том же диске, если у вас есть образ), затем создать резервную копию MBR, заново создать образ диска из образа, который у вас есть, и, наконец, вернуть MBR. Если разделение действительно идентично и заголовок / резервный заголовок раздела TC не был перезаписан, вы сможете смонтировать зашифрованный раздел после процедуры.
В противном случае я бы начал искать http://16s.us/TCHunt для поиска необработанных данных на диске, которые могут составлять раздел TC.
0
К сожалению, раздел TrueCrypt выглядит как случайные данные, и невозможно определить, действительно ли это раздел TrueCrypt. Вы не можете восстановить этот том TrueCrypt, потому что одна из особенностей TrueCrypt - сделать разделы неузнаваемыми. Таким образом, для любой части жесткого диска невозможно определить, является ли она частью раздела TrueCrypt или нет.