Recherche d'un volume TrueCrypt sur une partition perdue

0

J'ai créé un volume TrueCrypt (non caché) de 40 Go sur un disque dur de 1 To (je n'ai pas sauvegardé l'en-tête, mais j'ai toujours le mot de passe). Le disque dur a perdu la partition et j'ai essayé plusieurs programmes de récupération qui n'ont pas tous trouvé le volume. Le disque n'est pas formaté et j'ai pris son image, mais je me demandais comment localiser le volume.

Ricko Lacharity
la source
La déni plausible dit qu'il est parti.
Fiasco Labs

Réponses:

1

Eh bien, si votre partition était perdue, votre bloc de données TrueCrypt de 40 Go aurait peut-être également été compromis lors du même événement ...

Une solution faite à la main:

Vous pouvez écrire un script qui: mount votre image miroir avec un décalage , comme s’il s’agissait d’une partition, appelle TrueCrypt avec tous les paramètres appropriés et votre mot de passe. Si TrueCrypt renvoie 0, arrêtez et vous êtes satisfait, sinon essayez à nouveau avec décalage , jusqu'à ce qu'il ait essayé toute l'image.

Expérience:

Si ceci ne fonctionne pas, vous devriez faire le test suivant. Reproduisez le même problème avec un nouveau disque dur (créez une partition chiffrée, puis supprimez le MBR), et essayez la même approche ici. Si cela fonctionne, alors probablement votre bloc de données a été compromis, ce n'est pas le cas, alors mon approche ou votre implémentation a un défaut.

user39559
la source
0

Une approche consiste à créer un partitionnement identique sur un lecteur identique (ou sur le même lecteur si vous l'imaginez), puis sauvegardez le MBR, créez une nouvelle image du lecteur à partir de l'image que vous avez et enfin replacez le MBR. Si le partitionnement est effectivement identique et que l'en-tête / l'en-tête de sauvegarde de la partition TC n'a pas été écrasé, vous devriez pouvoir monter la partition chiffrée après la procédure.

À défaut, je commencerais à chercher à m'adapter http://16s.us/TCHunt pour localiser des données de disque brutes pouvant constituer une partition TC.

minya
la source
S'il connaissait le partitionnement, cela lui permettrait de régénérer le MBR sur le même disque dur, nul besoin de tout ce processus. De plus, TCHunt ne sert à rien dans ce cas. Cela ne fonctionne que pour les fichiers, pas pour les partitions. Comme je l'ai dit, il n'y a aucun moyen de distinguer les données aléatoires des partitions de TC. Lire leur FAQ .
m0skit0
S'il s'agissait de données aléatoires. Je crois que les données des autres partitions n'étaient pas du tout aléatoires.
minya
L'OP n'a pas réellement indiqué qu'il ne connaissait pas le partitionnement d'origine du disque. S'il peut s'en souvenir, alors (comme @ m0skit0 le dit), il pourrait simplement régénérer le MBR sur le disque et accéder à la partition TC.
Fran
@minya: voir le commentaire sur ma réponse.
m0skit0
0

Malheureusement, une partition TrueCrypt ressemble à des données aléatoires et il n’ya aucun moyen de savoir s’il s’agit vraiment d’une partition TrueCrypt. Vous ne pouvez pas récupérer ce volume TrueCrypt, car l'une des fonctionnalités de TrueCrypt consiste à rendre les partitions non reconnaissables. Donc, étant donné que n'importe quelle partie du disque dur, il n'y a aucun moyen de dire si cela fait partie de la partition TrueCrypt ou non.

m0skit0
la source
En fait, il devrait y avoir un moyen de le faire par exclusion, car dans ce cas particulier, le reste du disque n'était pas crypté. Vraisemblablement, il contenait des partitions non chiffrées qui pourraient être utilisées pour déterminer les limites de la partition chiffrée.
minya
Non, parce que selon le système de fichiers, les données pourraient être dispersées sur le disque (non contiguës) et que les seconds secteurs jamais écrits ou contenant de vieilles parties de fichiers supprimés sont réellement aléatoires.
m0skit0
L’opérateur dit qu’il disposait d’un «volume TrueCrypt de 40 Go (non caché)», ce qui signifie que TrueCrypt a crypté la partition entière et non un seul fichier. Les secteurs de cette partition doivent être adjacents et tous très aléatoires. Un test de hasard secteur par secteur devrait révéler un bloc de 40 Go de secteurs contigus hautement aléatoires. C'est probablement la partition que l'utilisateur a perdue.
Fran
Encore une fois, non: comment sauriez-vous même où commence la partition? Et encore une fois: l'espace vide dans une autre partition aura également l'air aléatoire, alors comment savoir si cette partie provient du volume TC? Donc, aucun moyen de récupérer cela. C'est aussi l'une des fonctionnalités de TC.
m0skit0