Hmm, przyjrzałem się. Mam wersję DMDe 2.2.2.. Po wybraniu trybu MFT zatwierdziłem domyślną wartość 0. Przeszukiwanie trwa za każdym razem parę sekund.
Jak to można zrobić po RAW i ile to może trwać?
Hmm, przyjrzałem się. Mam wersję DMDe 2.2.2.. Po wybraniu trybu MFT zatwierdziłem domyślną wartość 0. Przeszukiwanie trwa za każdym razem parę sekund.
Jak to można zrobić po RAW i ile to może trwać?
Zapisz sektory od 6291519 do sektora 6500000 do pliku potem ten plik otwórz i na nim spróbuj.
Translate post from polish to englishTo samo, czyli nic 
Poszperałem w necie i oto co znalazłem:
http://forums.truecrypt.org/viewtopic.php?p=38643#38643
Szukam "na piechotę" początków i końców plików. Zobaczymy.
Masz backup nagłówka kontenera? Lub jakikolwiek punkt odniesienia? Bo zauważam brak rozumienia, co znaczy 'próbować po RAW'...
Translate post from polish to englishNie mam backupu, dlatego próbuję na piechotę. A co do rozumienia - uczę się z każdym waszym postem. Dla mnie to kompletnie nowa dziedzina, nie wiedziałem nic na temat "budowy" plików, dysków itp. I nadal wiem za mało.
Przynajmniej mam nauczkę - zrobiłem kopie nagłówków pozostałych kontenerów...
Teoretycznie znalazłem początek pierwszego i koniec drugiego kontenera w WinHex. Zobaczymy, czy znajdę pozostałe i czy to, co znalazłem jest tym, co bym chciał.
Powiedz, jak znalazłeś początek pierwszego i koniec drugiego.
Translate post from polish to englishPoczątek (podkreślam, teoretycznie) pierwszego znajdował się po długim, pustym kawałku, składa się z śmieci i jest dość duży. Koniec drugiego to także śmieci, po których jest ciąg tych samych wartości, które powtarzają się także miejscami na początku dysku. Strzelałem po prostu.
Załączam fragmenty. Jeśli się mylę, to proszę o sprostowanie i inne pomysły.
PhotoRec niestety nie rozpozna nagłówka
http://www.cgsecurity.org/wiki/File_Formats_Recovered_By_PhotoRec
Tu jest opis plików TC
http://www.truecrypt.org/docs/?s=volume-format-specification
Opis problemów z odnalezieniem jak i szyfrowaniem i odzyskiem takich plików tc. :
http://wampir.mroczna-zaloga.org/archives/700-truecrypt-integralnosc-i-dostepnosc.html
http://wampir.mroczna-zaloga.org/archives/701-w-poszukiwaniu-kontenera-truecrypt.html
Zamieszczam też nagłówki poszczególnych plików jeśli kiedyś ktoś będzie potrzebował poszukiwać danego pliku.
Z tekstu :
Quote:Okazuje się, że pliki TrueCrypt jednak mają pewne cechy charakterystyczne. Są to:
* duża entropia (losowość),
* brak innych cech charakterystycznych (np. nagłówków),
W przypadku uszkodzenia systemu plików, które powoduje utratę informacji o alokacji plików na dysku możliwe jest zidentyfikowanie potencjalnych miejsc, gdzie plik mógł być umieszczony, co pozwala na odzyskanie zaszyfrowanych danych. Identyfikacja ta może być oparta na analizie entropii w poszczególnych jednostkach alokacji. Skuteczność tej metody jest jednak mocno zależna od "tła", czyli tego co na dysku znajdowało się przed awarią.
Najpierw piszesz, że nadpisanych zaszyfrowanych danych nie da się odzyskać. Potem piszesz, że PhotoRec znajdzie jakiś "RAW", a teraz wklejasz link, gdzie jak wół stoi:
TC wrote:TrueCrypt volumes have no "signature" or ID strings. Until decrypted, they appear to consist solely of random data.
Czyli droga dobra i chyba jedyna - znaleźć poprawne początki i końce plików. Nie uda się, trudno... nauczka na przyszłość.
Dziękuję wam za pomoc i sporą dawkę wiedzy!
A... jeszcze jedno pytanie. Jak po wszystkim najlepiej przywrócić dysk do działania? Zainicjować go normalnie pod windowsem i utworzyć partycję?
1) Dane masz zdeszyfrowane przez initio, masz to, czego nie nadpisałeś.
2) Czy się da odzyskać te dane? To zależy. Jak widać, automat nie potrafi.
3) Jeśli nadpiszesz te dane, to z pewnością się nie da ozyskać. Najwyraźniej te dane nie były tak ważne.
Quote:3) Jeśli nadpiszesz te dane, to z pewnością się nie da o[b]d[b]zyskać. Najwyraźniej te dane nie były tak ważne.
Nie denerwuj mnie.
Quote:Zainicjować go normalnie pod windowsem i utworzyć partycję?
Quote:Translate post from polish to english3) Jeśli nadpiszesz te dane, to z pewnością się nie da ozyskać. Najwyraźniej te dane nie były tak ważne.
Dane są ważne. Dlatego napisałem o inicjacji "po wszystkim", jak już wyczerpię wszystkie możliwości.
Rozumiem, że zrobić to narzędziami windowsa.
Możliwe są tylko dwa podejścia do odzyskania danych:
1) Podejście analityczne - sprawdzić wszystkie możliwości analizy systemu plików, których oczywiście nie wyczerpuje DMDE. Potrzeba bardzo dużo doświadczenia i cierpliwości.
2) Podejście siłowe - znasz hasło, a zatem można oskryptować bruteforce.
Nie ma rozwiązania z klawiszem "next" i to jest prawdziwe odzyskiwanie danych 
Zgadzam się, dlatego dalej szukam
Na chwilę obecną wiem tylko tyle, że pliki TC nie mają swojej sygnatury, ich cechą charakterystyczną jest właśnie wysoki poziom chaosu, co przy odpowiednio dużych plikach daje szanse na określenie ich początku i końca. Jeśli tylko nie są zbyt pofragmentowane (tzn. nie więcej niż dwie części jednego kontenera, w moim przypadku lepiej żeby nie było wcale, bo kontenery są dwa), to zgodnie z próbami Wampira mierząc poziom entropii można określić prawdopodobne miejsca początku i końca plików.
Hasło znam, ale nie mam pojęcia jak można by to tutaj wykorzystać.
http://wampir.mroczna-zaloga.org/archives/701-w-poszukiwaniu-kontenera-truecrypt.html wrote:Translate post from polish to english
Jedną z interesujących cech wolumenu TrueCrypt jest to, że montowany plik nie musi być kompletny. W zasadzie do podmontowania jest sam nagłówek. Kontener zostanie podmontowany, sam system plików wewnątrz niego może być jednak uszkodzony (bo nie jest kompletny). W praktyce oznacza to, że wystarczy jedynie 65536 bajtów z początku kontenera, by go zamontować, reszta pliku nie jest potrzebna. Cecha ta może być również wykorzystana do poszukiwania wolumenu, "wystarczy" wygenerować wszystkie możliwe fragmenty tej wielkości (oczywiście wyrównane do granicy klastra) i próbować po kolei je montować.
Dzięki! 
Czytałem to kilka razy, ale dopiero jak wkleiłeś oświeciło mnie. Skopiowałem sektory i zamontowałem. Okazało się, że ten rzekomy początek pliku, który znalazłem, był poprawny. Pokazało też wielkość, jaką powinien mieć kontener, zabieram się więc za szukanie końca.
Jaka jest szansa, że pomiędzy tymi dwoma dużymi plikami nie ma żadnej "przerwy"?
Obeszło się bez bruteforce, bo miałeś pusty dysk przy zakładaniu woluminów
Gratuluję, bo już teraz jest czego.
Sugeruję powściągnąć palce, a myśli zająć Regulaminem, bo forum nie służy prowadzeniu prywatnych krucjat dowodzących wyższości kogoś nad kimś.
Nie dotrze, to inaczej do porządku przywołam.
PS.
Adresaci niech sami się wysilą, by dojść "do kogo ta mowa".
Taliesin wrote:Jaka jest szansa, że pomiędzy tymi dwoma dużymi plikami nie ma żadnej "przerwy"?
Zamontowałem plik ponad 6 GB i w DMDE zobaczyłem strukturę plików, które utraciłem. Teraz przynajmniej wiem, co mi przepadło... Spróbuję wprost skopiować jak największy plik (~500 GB) i zobaczę, czy coś da się odzyskać. W międzyczasie poszukam lub postaram się napisać jakieś narzędzie do liczenia entropii z dysków.
Załączam pierwsze sektory z zamontowanego kontenera.
To masz na początku tego pliku, który załączyłeś.
Taliesin wrote:Spróbuję wprost skopiować jak największy plik (~500 GB) i zobaczę, czy coś da się odzyskać.
Akcja zakończona powodzeniem!
Kontener podmontował się bez problemów, uruchomił normalnie, nie było błędów logiki. Właśnie kopiuję z niego pliki i póki co nie znalazłem uszkodzonych. Jest szansa, że odzyskam wszystko z pierwszego kontenera
Teraz tylko pytanie, jak znaleźć początek drugiego kontenera...
Najpierw należy spróbować w ten sam sposób, jak znalazłeś pierwszy - sprawdzając, gdzie się urywa ciąg danych
Miałeś pusty dysk, gdy tworzyłeś kontenery i to jest wielkie ułatwienie. Dysk ma 1,5TB, a Ty umieściłeś na nim pliki o rozmiarach ~500 i ~800 gigabajtów. Nie wiemy na 100%, czy wolumin 800GB jest fizycznie na dysku jako drugi, bo nie mamy punktu odniesienia. Podaj LBA w których znalazłeś początek i koniec woluminu 500GB.
Z tym pustym dyskiem to chyba nie do końca. Tzn. tworząc kontenery na pewno nie było na nim plików, ale ślady po nich zostały i to całkiem sporo, w DMDE odzyskałem z ciekawości wiele plików, zupełnie sprawnych, których nie było na dysku przed "awarią".
Początek pierwszego kontenera znajdował się pod 6703360, koniec dałem na 1082541823 + 100.
Wyliczony koniec (bez tych 100, z którymi kopiowałem) i jego okolice nie posiadały wyraźnej granicy, ale dokładniej będę to oglądał po skopiowaniu danych z pierwszego kontenera.
W ostatnim sektorze odszyfrowanego woluminu powinieneś mieć BootCopy. To byłby punkt odniesienia
Mógłbyś wyjaśnić albo odesłać do jakiejś lektury? O który wolumin Ci chodzi?
Translate post from polish to englishChodzi o to, że jeśli znaleziony wolumin 513GB nie jest fragmentowany, to wyliczony sektor powinien być jego końcem. Jeśli zamontujesz ten wolumin zaczynający się w 6703360 i kończący się w 1075838463 do TrueCrypta, to otwierając dysk logiczny, tak jak to robiłeś wcześniej, powinieneś mieć w ostatnim sektorze taką samą zawartość jak w pierwszym sektorze pliku z tego posta.
Jeśli zawartość jest taka sama, to plik nie jest fragmentowany.
Search on offer
