True Crypt - przypadkowy format voluminu

Areopagita

Areopagita

Bardzo aktywny
Zasłużony
Dołączył
18 Sierpień 2010
Posty
1044
Reakcje/Polubienia
15
Miasto
różne
Witajcie,

mam spory kłopot, który sam spowodowałem. Sformatowałem za pomocą narzędzi windowsowych nie ten dysk co trzeba i niestety była to partycja z danymi, szyfrowana przez TC. Oczywiście backupu headera nie zrobiłem :k...... Dysk jest do zamontowania przy użyciu opcji skorzystania z zapasowego headera (robi to sam program) niestety próby dostania się do plików za pomocą menedżera są nieskuteczne - informacja - dostęp zabroniony.

Czy ktoś z Was orientuje czy możliwe jest odzyskanie dostępu do plików, bez posiadania kopii headera?

pozdr.

Areopagita
 
sPeRaCz

sPeRaCz

Bardzo aktywny
Zasłużony
Dołączył
21 Maj 2011
Posty
525
Reakcje/Polubienia
23
Bez tej kopii nic nie wskurasz samodzielnie. Odzyskanie danych graniczy z cudem. Kiedyś do serwisu klient przyniósł mi laptopa z tak "załatwioną" partycją i niestety wszelkie działania okazały się bezskuteczne. Mankamentem jest to, że nawet jeśli posiadasz hasło to nie wygenerujesz drugiego takiego samego klucza, gdyż mimo używania szyfrowania sha-512 / lub innego zawsze będzie on nawet o 1 bajt różny od pierwowzoru. Zatem przykro mi - odzyskanie danych w Twoim przypadku jest nierealne.
 
Areopagita

Areopagita

Bardzo aktywny
Zasłużony
Dołączył
18 Sierpień 2010
Posty
1044
Reakcje/Polubienia
15
Miasto
różne
Szperacz.

Jednak system widzi partycję, z jej nazwą, strukturą danych. Chkdsk sprawdza wszystko i pokazuje, że jest bez błędów. Wydaje się zatem, że musi być jakaś opcja dojścia do tych danych.


Zaloguj lub Zarejestruj się aby zobaczyć!
 
sPeRaCz

sPeRaCz

Bardzo aktywny
Zasłużony
Dołączył
21 Maj 2011
Posty
525
Reakcje/Polubienia
23
W dokumentacji do TC jest napisane,że z nagłówku partycji zapisane są pewne informacje odnośnie metody szyfrowania i klucza w związku z tym utworzenie identycznego nagłówka nie jest możliwe. A bez tego nagłówka odzyskanie danych ze sformatowanej partcji nie jest możliwe.

Jedyną podaną metodą prze TC na odzyskanie naglowka jest posiadanie jego kopii. Dodatkowo każda partycja ma zapasowy naglowek na koncu woluminu i teoretycznie powinien się dać odzyskać pod warunkiem posiadania prawidłowego hasła. Kluczem jest wiedza jaki byl układ tablicy partycji z dokladnoscia do cylindra, głowicy i sektora, bez tego praktycznie szanse sa dość niskie. Jesli czegoś nie mamy (np. hasła, kopii nagłówka) to szansa na odzyskanie danych jest rowna ~0 (zaleta i wada AES).

Ewentualnie możesz podpiąć dysk do innego komputera i uzyc opcji System -> Mount without pre-boot authentification.
Jeżeli się "uda" to należałoby użyć softu do odzyskiwania danych, jest tylko jedno ale - jeżeli hasło zostało odpowiednio zmodyfikowane przez losowe dane w nagłówku (tzw. salt) by utrudnić łamanie metodą hasłową to nie ma opcji na odzysk danych.
 
Areopagita

Areopagita

Bardzo aktywny
Zasłużony
Dołączył
18 Sierpień 2010
Posty
1044
Reakcje/Polubienia
15
Miasto
różne
Dziękuję Szperacz za pomoc. Nauczka - robić kopie zapasowe headerów, no i nie robić pomyłek :)
 
A

Anonymous

Jeśli nie masz nic do stracenia, spróbuj darmowej wersji programu DMDE - DM Disk Editor and Data Recovery Software.

Link do programu:

Zaloguj lub Zarejestruj się aby zobaczyć!
01. Instalujesz program
02. Otwierasz dysk logiczny
03. Wykonujesz Scan NTFS
04. Otwierasz wolumin
05. Odzyskujesz pliki
Tak wygląda teoria. A jak jest w praktyce? Do odważnych świat należy.

Pozdrawiam
:hi
 
sPeRaCz

sPeRaCz

Bardzo aktywny
Zasłużony
Dołączył
21 Maj 2011
Posty
525
Reakcje/Polubienia
23
@giveawayday

W praktyce będzie wyglądać to tak, że Kolega zobaczy "jakieś" pliki, które z nazwy mogą być poprawne i odzyska uzyskując nic nie warty plik zapisany przypadkowymi bajtami (szyfrowanie AES). Można sporządzić kopię posektorową dysku i dalej kombinować, teoretycznie będzie to miało sens, a praktycznie to porywanie się "z motyką na słońce. Po prostu ten kto odzyska dane z takiej partycji/dysku jak w przypadku Kolegi @Areopagita na pewno dostanie Nobla w dziedzinie informatyki.

Celowo stworzyłem sobie na testowym komputerze taką sytuację jak ma @Areopagita i nawet DMDE Professional oraz inne komercyjne oprogramowanie do odzyskiwania danych nie radzi sobie.

Ale...
Ja do celów testowych utworzyłem kopię nagłówka i po sformatowaniu partycji "od strzała" można odzyskać około 90% danych, kolejne 10% to kwestia kilku godzin.

Zatem przezorny zawsze ubezpieczony, kopia zapasowa to podstawa.

Żeby pojąć co się dzieje przy formatowaniu dysku/partycji np w NTFS, z której potem będziemy chcieli bądz musieli odzyskać dane przedstawię mały schemacik:

Buduje się boot-sektor w formacie ntfs
Generuje się nowy seryjny numer dysku i zapisuje się w boot sektor, offset 48h
Oblicza się nowa suma kontrolna boot-sektor i zapisuje się offset 50h,
Buduje się nowy plik MFT, zawierający informacje o wszystkich plikach na dysku i zazwyczaj zapisuje się nadpisując stary plik MFT (wyjątków tu nie ma). We wszystkich przypadkach pierwsze ~24 zapisy (File Record) będą zniszczone bezpowrotnie.
W tych zapisach znajduje sie sam $MFT, $MFTMirr, folder root, /$LogFile - plik transakcji,/$BITMAP - mapa wolnej przestrzeni,/$Secure- deskryptory bezpieczeństwa i inne służbowe pliki
Inicializuje się $MFT:$DATA - ustala się nowa długość ($MFT:$30.AllocatedSize, $MFT:$30.RealSize, $MFT:$80.AllocatedSize, $MFT:$80.RealSize, $MFT:$80.CompressionSize, $MFT:$80.InitializedSize, $MFT:$80.LastVCN), data/czas zbudowania/ostatniej modyfikacji ($MFT:$10.FileCreationTime, $MFT:$10.FileAlertedTime, $MFT:$10.FileReadTime, $MFT:$30.FileCreationTime, $MFT:$30.FileAlertedTime, $MFT:$30.MFTChangeTime, $MFT:$30.FileReadTime) i najważniejsze, buduje się nowy spis odcinków (data-runs), bezpośrednio nadpisując stary, a to oznacza ze zbierać fragmentowany $MFT trzeba będzie po kawałkach
Buduje się nowy /$BITMAP-plik odpowiedzialny za podzielenie przestrzeni dyskowej (wolne i zajęte klastry) znowu nowa zawartość nadpisuje stara, ale to tez można odzyskać z chkdsk.
Buduje się nowy plik dziennika transakcji - /$LogFile,
Do nagłówka zapisu $MFT wprowadza się nowy LogFile Sequence Number w skrócie LSN;
$MFT naznaczany jest nowy numer kolejności aktualizacji (Update Sequence Number);
Buduje się lustro $MFTMirr, bezpowrotnie zacierająca stare (znajduje się po środku partycji NTFS ),
Budują się nowe /$Volume, /$AttrDef i inne pliki służbowe.
Przeprowadza się sprawdzenie powierzchni i wszystkie odnalezione uszkodzone klastry zapisywane do pliku /$BadClus;
Formuje się nowy folder root
Jeżeli do formatowania partycji istniał /System Volume Information-plik, to on po prostu odnawia się, w przeciwnym razie /System Volume Information buduje się tylko po restarcie komputera;
Jak widać po formacie zostają wszystkie dane, które były na dysku, tylko z wyjątkiem niektorych szczegółów samych metadanych zmiana których utrudnia odzyskiwanie , ale nie na tyle, żeby to było niemożliwe.
Kliknij aby rozwinąć...

Jeżeli partycja/dysk zaszyfrowana była np TC to informacje z pliku MFT będą zakodowane w taki sposób, że bez kopii nagłówka nie da się odtworzyć dawnej struktury plików i katalogów, a co za tym idzie nie będzie fizycznej możliwości odzyskiwania danych.

Używając zatem oprogramowanie do odzyskiwania danych tak czy owak dobierzemy się tylko i wyłącznie do zakodowanego obszaru MFT, a co za tym idzie uzyskamy pliki które będą zakodowane algorytmem użytym w TC.

Zatem gdyby @Areopagita posiadał kopię to bez większego problemu można by odzyskać wszystkie dane.

No... mam nadzieję, że nie zanudziłem Was swoimi wywodami. :francuz
 
Areopagita

Areopagita

Bardzo aktywny
Zasłużony
Dołączył
18 Sierpień 2010
Posty
1044
Reakcje/Polubienia
15
Miasto
różne
sPeRaCz napisał:
Zatem przezorny zawsze ubezpieczony, kopia zapasowa to podstawa.
Kliknij aby rozwinąć...


Banał, ale zawsze mówiłem sobie - zrobię jutro.

Na szczęście te pliki chyba będą do odzyskania, tylko muszę kupić dysk do zgrania. Partycja jest dostępną z zapasowego headera zawartego w woluminie oraz przy opcji 'do odczytu'. Gdyby nie to to bym był :zły :pobity :kill
 
sPeRaCz

sPeRaCz

Bardzo aktywny
Zasłużony
Dołączył
21 Maj 2011
Posty
525
Reakcje/Polubienia
23
Areopagita napisał:
sPeRaCz napisał:
Zatem przezorny zawsze ubezpieczony, kopia zapasowa to podstawa.
Kliknij aby rozwinąć...


Banał, ale zawsze mówiłem sobie - zrobię jutro.

Na szczęście te pliki chyba będą do odzyskania, tylko muszę kupić dysk do zgrania. Partycja jest dostępną z zapasowego headera zawartego w woluminie oraz przy opcji 'do odczytu'. Gdyby nie to to bym był :zły :pobity :kill
Kliknij aby rozwinąć...

No to masz farta w takiej sytuacji. Pamiętaj aby nie nadpisać danych i koniecznie utworzyć kopię posektorową przed próbą odzyskiwania danych. Do tego celu DMDE jest wręcz idealnym narzędziem.
 
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

I
Skiff is shutting down
Odpowiedzi
0
Wyświetleń
215
ImranQ
I
I
Proton launches an end-to-end encrypted passwor
Odpowiedzi
0
Wyświetleń
208
ImranQ
I
9
Jak odłączyć zdalne zarządzanie Programem Emsisoft Anti-Malware
Odpowiedzi
10
Wyświetleń
640
9jkxcDU533
9
Grandalf
Najlepsze aplikacje uwierzytelniające
Odpowiedzi
0
Wyświetleń
404
Grandalf
Grandalf
N
co należy zrobić po świeżej instalacji win lub linux
Odpowiedzi
13
Wyświetleń
891
spamtrash
spamtrash
Do góry