Восстановление зашифрованного контейнера от TrueCrypt.

Форум по восстановлению данных при помощи профессиональных программ R-Studio, R-Studio for Mac и R-Studio for Linux
Armen
Сообщения: 3
Зарегистрирован: 08 май 2020, 23:12

Восстановление зашифрованного контейнера от TrueCrypt.

Сообщение Armen » 08 май 2020, 23:32

День добрый!
Проблема такая: на диске был файл который в TrueCrypt монтировался как диск. Размер приблизительно 40 гигов. Случайно диск целиком начали шифровать в TrueCrypt. Спустя какое-то время это обнаружили и прервали. Файлы по сигнатурам с помощью r-studio восстановились. А вот файл-контейнер обнаружен не был. (он без расширения)
Два вопроса:
1 Возможно ли его восстановить?
2 Как найти нужный файл (имя известно)?
Вложения
диск.jpg
диск.jpg (20.92 КБ) 539 просмотров

Alt
Модератор Форума
Сообщения: 463
Зарегистрирован: 14 ноя 2008, 14:57
Контактная информация:

Re: Восстановление зашифрованного контейнера от TrueCrypt.

Сообщение Alt » 09 май 2020, 19:54

Увы. Шифрованные контейнеры сделаны так чтобы было сложно их идентифицировать. Поэтому у них нет сигнатур и найти их таким образом невозможно.

Armen
Сообщения: 3
Зарегистрирован: 08 май 2020, 23:12

Re: Восстановление зашифрованного контейнера от TrueCrypt.

Сообщение Armen » 10 май 2020, 17:03

Тут нашел вот такую инструкцию, но она относится к разделам, у меня файл. Возможно ли ее адаптировать под файл?
ВЫ ДОЛЖНЫ ЗНАТЬ ПАРОЛЬ!

Инструкций не нашел, инфы по подобным случаям нет, поэтому пишу отдельно.
Это инфа для профессионалов, нубам не рекомендуется сразу приступать к восстановлению.
Желающие могут доработать инфу, допилить программу, и т.д. Я после горячего секаса с винтом желаю отдохнуть.

Если у вас на винте-флешке с truecrypt-разделом
а) полетела таблица разделов
б) переразбивка диска
в) объединяли разделы,

и раздел с был потерян, то можно раздел восстановить, предварительно потрахавшись.

1. Главное - ничего не делать до того как сделаете образ.
2. Сделать образ.
3. Сделать образ.

4. Качаем набор для секса
http://rusfolder.com/35156667


В наборе -
программа для посекторного копирования с винта-файла - DD - аналог линуксовой, понимание как работает - обязательно.
truecrypt,
winhex.

т.к. winhex'ом придется пользоваться много, то рекомендую перейти в режим read-only, чтобы не запороть образ или винт.

Предупреждение - набор работает с сектором в 512 байт, для 4к требуется модификация.

5. Вычисляем примерное положение начального сектора truecrypt-раздела.

желательно поточнее, перебор 65000 секторов займет часа 3, хотя процесс можно оптимизировать.

Заполняем таблицу zBAT-FILES

Заполняем зеленые ячейки.
Пишем начальный сектор в таблицу, пишем из какого устройства(файла) создаются копии удаленного тома, пишем куда будут выводиться копии (см теорию ниже), кол-во секторов в проверочном контейнере. Мне хватило 20.

Заполняем пароль - обязательно! Если вы не знаете пароль или напишете неправильно, то найти раздел не удастся.

Копируете получившиеся листы в соотвествующие батники, удаляете табуляцию
и запускаете -
_dd_copy_img
_truecrypt_mount

Если вы все сделали правильно, если инфа не была затерта, то после выполнения вы увидите название файла, и номер сектора с которого начинается truecrypt-раздел.
Вы узнали номер сектора, с которого начинается раздел.

6. Делаем копирование с этого сектора в файл, монтируете, сливаете инфу.
7. Если раздел был большой, места нет, то восстановить раздел можно при помощи программ, которые позволяют создвать раздел с точностью до сектора

Например, Acronis DD.
Внимание - Acronis DD затирает первые 200 секторов созданного раздел, поэтому обязательно сделайте слепок исходный сектор [-20 мб,20мб].



Затем скопируйте затертые сектора из слепка.

Дополнительная теория.
Для того чтобы найти удаленный раздел я создал посекторные копии винта размером 100 секторов (минимум 20, меньше 20 секторов не определяются как контейнеры)
как контейнеры truecrypt.
100 секторов - это 50кб. Этого достаточно, чтобы truecrypt опознал контейнер. Контейнер будет смонтирован, но открыть его будет нельзя.
Но вы получите номер сектора, с которого начинался truecrypt раздел.

_dd_copy_img - создает контейнеры, на проверку 50 000 секторов(область в 25MB) потребуется 2.5 gb
_truecrypt_mount - пытается монтировать контейнеры, будет смонтирован только тот, к которому подойдет пароль.

В окне truecrypt вы сможете увидеть название файла s_______.tc, где вместо черточек будет номер сектора.

Дальше смотри пункт 7.

Восстановление инфы будет невозможно в случае если оказался перезатерт первый сектор исходного диска. Если я правильно понял, там хранятся мастер-ключи.
Поэтому не рекомендуется пытаться восстановить (пересоздать) раздел как средствами windows, так и сторонними программами. Вы необязательно попадете в тот же самый сектор - особенно, если исходная разметка была сделана другой программой.
Также можете скопировать первые сектора винта, gpt, mft и попытаться вытянуть инфу о первом секторе оттуда.

Если Раздел находится в середине-конце диска, то вооружитесь калькулятором. Практически, можно восстанавливать разделы по порядку, различными программами, и искать начало раздела на оставшемся месте - это секономит вам время, мой раздел, например, нашелся на 8 секторе пустого пространства после восстановление остальных разделов программой EaseUS Partition Master.

Желаю приятного секаса, товарищ, раз ты нашел эту тему.

Alt
Модератор Форума
Сообщения: 463
Зарегистрирован: 14 ноя 2008, 14:57
Контактная информация:

Re: Восстановление зашифрованного контейнера от TrueCrypt.

Сообщение Alt » 10 май 2020, 20:47

Для начала вам сам файл найти надо. Если вы его найдете, то и мучиться не надо - он сам расшифруется в TrueCrypt'е. Проблема в том, что у таких контейнеров нет характерных признаков и их так просто не найти.

Armen
Сообщения: 3
Зарегистрирован: 08 май 2020, 23:12

Re: Восстановление зашифрованного контейнера от TrueCrypt.

Сообщение Armen » 11 май 2020, 13:13

А если есть одна из версий этого файла, это поможет?

Alt
Модератор Форума
Сообщения: 463
Зарегистрирован: 14 ноя 2008, 14:57
Контактная информация:

Re: Восстановление зашифрованного контейнера от TrueCrypt.

Сообщение Alt » 11 май 2020, 18:56

Armen писал(а):
11 май 2020, 13:13
А если есть одна из версий этого файла, это поможет?
Боюсь что нет. Неизвестно что где и когда менялось в искомом файле. Да, еще и файл должен быть нефрагментированным.

Мое резюме. Может быть, специалист и сможет что-то сделать, но это потребует серьезного опыта, больших затрат труда, и еще удачи.

Ответить