Odzyskiwanie danych z True Crypta


(Arawela) #1

Witam

Mam następujący problem. Przy odwirusowaniu kompa, przez przypadek usunąłem pliki o nazwach typu ,,lkjqsakjgbskjfbsjkbfwkje", które podejrzewałem, iż są zwyczajnymi wirusami. Jak się szybko okazało, po zamontowaniu dysku truecryptem, nie mogę odczytać ich zawartości, gdyż brakuje do otworzenia właśnie tych plików, które usunąłem - mogę zamontować dysk i wejść do niego, ale nie mogę wejść do folderu, który zawiera wszystko co tam jest. Prawdopodobnie były to foldery szyfrujące hasło. Z racji tego, że opróżniłem kosz, próbowałem je wyszukać programem EaseUS Data Recovery, i coś tam znalazłem, jednak jest jeszcze jeden problem... nie pamiętam ich dokładnej lokalizacji. Wiem, że większość z nich znajdowała się w USER, oraz system32, do czego doszedłem znajdując element docelowy we właściwościach dysku, jak i na podstawie nowego, roboczego dysku, który przed chwilą utworzyłem. Wiem, gdzie znajdują się te foldery do tego nowego dysku, więc pomyślałem, że może jeśli odszukam wszystkie usunięte foldery i wrzucę do lokalizacji nowego dysku, to może je odczyta. To niemniej, muszę przeszukać kilkaset tysięcy plików, żeby to odnaleźć...

Próbowałem również programem Passware kit 2015, jednak nie łamie on zabezpieczeń, a jedynie podaje hasło, które znam. 

Próbowałem również uruchomić przywracanie systemu, jednak też nie chce mi działać.

 

Cała zawartość leży tam w środku nietknięta, hasło znam, tylko nie mam do niej dostępu. Mam tam bardzo ważne informacje i muszę je odzyskać, skopiować gdzieś, wysłać... cokolwiek.

Będę wdzięczny za każdą pomoc

 


(Atronics) #2

a tym by coś nie ruszyło.

http://traxter-online.net/testdisk-photorec-odzyskiwanie-danych/


(Indy) #3
  1. Nie jesteś w stanie zajrzeć do logów antiwirusa i sprawdzić co zostało usunięte? Może nawet pliki nie zostały usunięte tylko przeniesione do kwarantanny.

  2. Sprawdziłem w TrueCrypcie i jeśli jest kontener przy tworzeniu którego użyto plików kluczowych oprócz hasła, to przy podłączaniu woluminu - gdy się nie wskaże tych plików - nie da się go wogóle zamontować. Poza tym przy wcześniejszych próbach montowania tego wolumenu za każdym razem musiałbyś ręcznie wskazać te pliki, więc wiedziałbyś o tym, że są to pliki kluczowe.

Podsumowując, skoro wolumen daje się zamontować, to znaczy, że hasło wystarcza, tylko jego zawartość jest uszkodzona, ale został on odszyfrowany.

Zrób kopię tego kontenera i na niej spróbuj coś zrobić - np. na niej uruchom odzyskiwanie danych.

Czy ten wolumen miałeś zamontowany przy skanowaniu antywirem? Sprawdzałeś czy nie masz uszkodzonej fizycznej powierzchni dysku na której jest plik?

Co wogóle się dzieje, gdy próbujesz wejść do folderów po zamontowaniu kontenera?