Odzyskanie 3 partycji (w tym jedna ukryta / zaszyfrowana - Truecrypt)

Witam,

Przejdę od razu do rzeczy.

Dysk zewnętrzny 1TB WD, na której były 3 partycje (1 - 220GB Fat32, 2 - 276GB NTFS, 3 - około 500GB NTFS ukryta / zaszyfrowana programem TrueCrypt)

Pożyczyłem znajomemu dysk...podłączył go do swojego kompa, zostały wykryte partycje, system Windows 7 "wypluł" informację, że należy sformatować partycje nr.3 (zaszyfrowaną TrueCyptem), przez nieuwagę pozwolił na to systemowi, jednak po około 3-4 sekundach oprzytomniał i anulował formatowanie. W wyniku tej operacji zniknęły wszystkie partycje. Mam teraz jedną dużą, niezformatowną 1 TB partycję.

Próbowałem skanować cały dysk różnymi programami do odzyskiwania partycji, jednak żaden program nie wykrywa partycji ukrytej. Dysk jest w stanie nienaruszonym, nie zapisywałem na nim nic, nie nadpisywałem żadnych sektorów, MFT itp.

Oczywiście hasło do TrueCrypta znam, jednak nie robiłem niestety rescue disk.

Czy jest możliwość przywrócenia partycji / dysku do stanu z przed "nieumyślnego" i przerwanego formata ?! .

Z góry dziękuję za pomoc.

W załączniku sec_0_101.bin oraz screen partycji w DMDE 2.2.2.

0 18

kci83 Dokładnie opisz jakie tam były partycje z jakim systemem plików i co mniej więcej na nich było.

Trucrypt był po przez szyfrowanie partycji ?
Dwie ostatnie partycje nie sa problemem ale partycje na początku są bo nie widzę żadnych prawidłowych wpisów ich dotyczących. Trzeba by wykonać SCAN NTFS jeśli były w NTFS-ie.

Dwie partycje dodane. Plik w załączniku do wgrania w sektor 0 od - 0 do 0 jeden sektor.

Z trucryptem nie będzie łatwo trzeba znaleźć początek partycji czy był on w 63 sektorze czy może w 2048 to jest pytanie . Czym była zakładana partycja 500GB Windowsem ? Jakim ?

Zakładając że była to partycja podstawowa i robiona przez Windows Vista lub 7 na NTFS. To przypuszczalnie powinno wyglądać to tak.

Plik 1a.bin

Jeśli zaś był to Win XP lub podobny w dół to wyglądać może to tak :

Plik 1b.bin

Jeśli zaś był to FAT32 i zaczynał się od 32 sektora to powinno wyglądać to tak :

Plik 1c.bin

Powinieneś podać plik większy do analizy Sektory od 0 do 20000.

Formatowanie to nadpisywanie danych :

Quote:

Czy jest możliwość przywrócenia partycji / dysku do stanu z przed "nieumyślnego" i przerwanego formata ?! Wink.

Można próbować tak jak mówiłem strzelać gdzie partycja się znajdowała ale czy Trucrypt będzie miał tam nie uszkodzony nagłówek nie wiem.

Quote:

Tu jest opis plików TC
http://www.truecrypt.org/docs/?s=volume-format-specification
Opis problemów z odnalezieniem jak i szyfrowaniem i odzyskiem takich plików tc. :
http://wampir.mroczna-zaloga.org/archives/700-truecrypt-integralnosc-i-dostepnosc.html
http://wampir.mroczna-zaloga.org/archives/701-w-poszukiwaniu-kontenera-truecrypt.html

0

Dziękuje za odpowiedź, sądziłem, że już nic z tego nie będzie.


Więc, tak.

Na dysku były 3 partycje, które zostały utworzone w Windowsie XP Pro. (obecnie posiadam już Windows 7).

1. 500GB (partycja NTFS - później została cała zaszyfrowana w TrueCrypt) - trzymam na niej spakowane (winrar i 7-zip) projekty, dokumenty, prywatne rzeczy i kopie zapasowe partycji systemowych kompa stacjonarnego i laptopa - czyli mają "status ważny".

2. 220GB (Fat32) - kopie zapasowe gier ps3.

3. 276GB (NTFS) - obrazy płyt, programy itp.

Czyli rozumiem, że w tym wypadku mam wgrać Plik 1b.bin tak?!

Wykonać skan NTFS partycji 500GB i zapisać log? Jeżeli tak, to zapuszczam... niech już leci .

W załączniku dodałem plik sec_0_20001 do analizy.

Przeczytałem te opisy z linków, jednak przyznam szczerze, że nieco się pogubiłem w tej specyfikacji plik / voluminów TrueCrypt .

0 Translate post from polish to english

Tu nie tylko jest problem partycji. trzeba próbować każdej możliwości ja przygotowałem 3 ewentualności ale z tego co podesłałeś wynika że opcja 3 zmodyfikowana do wersji z NTFS jest bardziej prawdziwa.
Dlatego załączam plik poprawiony.
Spróbuj . SCAN NTFS nic nie da bo to szyfrowany wolumin.

Podaj jeszcze sektory od 976767064 do 976768064 trzeba znaleźć kopie nagłówka. Ta kopia nie jest identyczna jak sam nagłówek bo są szyfrowane innym kluczem. Jeśli masz możliwość montowania partycji używając kopi nagłówka to spróbuj tego. Jeśli wolumin zostanie odszyfrowany to dopiero wtedy można działać dalej bo mogło dojść do uszkodzenia np. części plików lub MFT.

0 Translate post from polish to english

Mogę jeszcze prosić o info. odnośnie wgrania pliku sec_0_1d.bin poprzez DMDE. Mam to zrobić poprzez Narzędzia - Kopiuj sektory... czy poprzez Wypełnij sektory? Bez względu na to co wybiorę później jest:

Pierwszy sektor: 0
Ostatni sektor: 0
Liczba sektorów: 1

Tak zostawić i wgrać plik?


W załączniku sektory od 976767064 do 976768064.

0 Translate post from polish to english

Tu na końcu opisane : https://www.elektroda.pl/rtvforum/topic1445635.html

Quote:

Wgranie sektorów na dysk z pliku.

Często po poprawieniu wpisów należy wgrać np. sektor 0 lub inny na dysk. Wykonuje się to podobnie jak zgrywanie sektorów do pliku tylko jako "Source" dajemy plik a jako "Destination" wybieramy dysk i wpisujemy sektor w okienku "Copy sectors".

To co masz w 32 sektorze


Może świadczyć że od tego miejsca się zaczynało albo od tego miejsca zostało zapisane uszkodzenie. Taki wpis masz aż do 20000 sektora ! co jeszcze bardziej utrudnia sprawę . Trzeba użyć kopi nagłówka bezpieczeństwa dla trucrypta. Może też być tak, że partycja zaczynała się od 63 sektora dlatego możesz tez sprawdzać wersje 1b

Na końcu partycji masz to :

Nie takie same ale podobne dane powinny się zaczynać na początku partycji. To co jest może świadczyć albo o wyzerowaniu tej części albo o uszkodzeniu. Trudno powiedzieć.

0 Translate post from polish to english

Wgrałem plik sec_0_1d.bin pojawiły się wszystkie partycje, w tym również zaszyfrowana truecrypt, której jednak nie można było podmontować, ani przywrócić nagłówka (Restore Volume Header - Truecrypt).

Wgrałem plik 1b.bin również pojawiły się wszystkie partycje... i co ciekawe udało mi się przywrócić zapasowy header w truecrypt .

Niestety na partycję podmontowaną w trucrypt nie mogę się dostać, system "wypluwa" informację, iż system plików nie jest rozpoznany i należy zformatować partycje.

Może uda się ją jeszcze jakoś przywrócić?

Dziękuję za dotychczasową pomoc migol21 .

0 Translate post from polish to english

Jeśli udało ci się ją podmontować. to już jest dobrze. Ważne by była rozszyfrowana. Jeśli będzie rozszyfrowana należy sprawdzić co widzi DMDE na tak rozszyfrowanej podmontowanej partycji. Tu będzie potrzebny skan NTFS i szukanie tego co utracone. Ostatni sektor tak zwany Boot Copy MFT .

0 Translate post from polish to english

Skan NTFS w DMDE zrobiłem.

Screen poniżej.



W załączniku dodałem log ze skanowania.

Po skanowaniu mogę bezproblemowo otworzyć wolumin, jednak odzyskany losowy plik np. archiwum rar jest uszkodzony... ale może to ja robię coś nie tak przy odzyskiwaniu danego pliku.

Zależy mi raczej na odzyskaniu całej partycji.

0 Translate post from polish to english

Znajdź po otworzeniu znalezionego woluminu plik tekstowy i nie jeden a więcej plików sprawdź czy są sprawne.

Po rozszyfrowaniu woluminu podaj ostatni sektor tej partycji powinien tam być boot sektor copy.

0 Translate post from polish to english

W DMDE dałem "edytor - kopia boot sektora", i coś takiego się pojawiło.



Z tego co zauważyłem to pliki tekstowe oraz PDFy otwierają się poprawnie.

0 Translate post from polish to english

Jak otworzysz wolumin czyli w tym okienku które podawałeś daj Menu dysk i wybierz Partycje podaj to okienko. Możesz oczywiście teraz użyć programów do odzyskania plików jeśli uszkodzone jest MFT nie ma Boot sektora i Boot Copy to trzeba by znaleźć gdzie jest MFT gdzie jest MFT mirror i odbudować Boot sektor. Poszukamy jeszcze czy go nie znajdziemy Podaj oczywiście po rozszyfrowaniu sektory.

od 6290519 do 6299519

Wgraj podany plik w sektor 63 zobaczymy czy coś się uda.
Przed wgraniem zrób kopie tego sektora.

0 Translate post from polish to english

Screen:



W załączniku sektory od 6290519 do 6299519.

Wgrałem podany plik w sektor 63 (kopie sektora zrobiłem), jednak nic się nie zmieniło.. nie mogę wejść na partycje, dostaje informacje żeby ją zformatować.

0 Translate post from polish to english

Oki ale mamy Boot Copy !
Podaj sektor 976 767 489

Czy ty aby na pewno wgrałeś w 63 sektor ?

0 Translate post from polish to english

Tak, wgrałem w sektor 63 (chyba). Dałem kopiuj sektor - Plik otwórz... zaznaczyłem plik. Jako docelowy - pierwszy i ostatni sektor dałem 63.


W załączniku sektor 976 767 489.

0 Translate post from polish to english

OK. Do wgrania w sektor 0 plik sec_0_1_ok.bin
Oraz w sektor 63 plik https://www.elektroda.pl/rtvforum/download.php?id=443856..

Pamiętaj najpierw wgrywaj sektor 63 potem dopiero sektor 0. No i oczywiście trzeba sprawdzić czy partycja się rozszyfruje.

Potem zamknij DMDE i otwórz ponownie . Potem otwórz dysk i pokaż ekran partycji. jeśli partycja pierwsza pokaże się otwórz ją i podaj ekrany MFT tu masz przykład :
http://www.youtube.com/watch?v=toXoxHmZwXE

0 Translate post from polish to english

Nie wiem czy to ważne, ale takie coś mi się pojawiło:




Partycja:



Screeny początku i końca MFT.

0 Translate post from polish to english

https://obrazki.elektroda.pl/6663104100_1309899844.jpg
https://obrazki.elektroda.pl/7997348600_1310338439.jpg

Najlepiej będzie jak zgłosisz się na GG bo już nie dużo zostało i lepiej tego nie zepsuć.

Po pierwsze jak otwiera się dysk logiczny to Boot sektor nie jest w sektorze 63 a 0 bo to jest partycja a partycja zaczyna się od Boot sektora. Po drugie musi się otworzyć dysk logiczny bo tylko on jest rozszyfrowany . Po podłączeniu zdalnym przywróceniu boot sektora sprawdzeniu MFT. wykonuje się CHKDSK dla dysku logicznego rozszyfrowanego. Po ponownym zamontowaniu wszystko działa jak trzeba dane są .

0 Translate post from polish to english

Dziękuję za pomoc i pozdrawiam, problem rozwiązany, więc temat zamykam.

0 Translate post from polish to english