Elektroda.pl
Elektroda.pl
X
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Znalezienie klucza odzyskiwania BitLocker z dysku, uszkodzonego laptopa.

Piotr Partyka 20 Jul 2022 12:08 1911 52
  • #31
    djbpm
    Level 22  
    mobo wrote:
    Tu mam pytanie. Np jest taki dysk automatycznie zaszyfrowany i rozumiem że użytkownik zalogowany do windows zdejmie te szyfrowanie poleceniem bez żadnych kluczy itp jak kolega wyżej. Ale czy da się to zdjąć nie znając hasła do windowsa na tym dysku. Bo żadne klucze ratunkowe nie są tworzone rozumiem.
    Jak napisałem wcześniej, to "automatyczne" szyfrowanie można obejść:
    djbpm wrote:
    Ale spod instalatora Windows spokojnie mogłem się dostać do tych plików bez hasła użytkownika. Jedynie to wymagało przydzielenia litery tej partycji za pomocą mountvol.
    Co prawda to było na tym samym urządzeniu, ale, z tego co pamiętam, taki dostęp z instalatora nie jest możliwy jeśli Bitlocker jest faktycznie w pełni aktywny.
    Hasło użytkownikowi w systemie założyłem wcześniej. Skoro jest dostęp, to prawdopodobnie da się to szyfrowanie kompletnie wyłączyć.
    Jak się aktywuje Bitlockera w pełni, (wymagany jest do tego świadomy backup klucza) dostęp do takiej partycji spod instalatora staje się niemożliwy, a więc dopiero wtedy dane są bezpieczne.
    kaleron wrote:
    Czy możesz na chwilę podłączyć ten dysk do innego fizycznie komputera z zainstalowanym Windowsem i sprawdzić, czy system uzyska dostęp do tej partycji?
    Nie, komputer już pojechał, poza tym aktywowałem w pełni Bitlockera.
  • #32
    mobo
    Level 12  
    Aha rozumiem tylko jeszcze kwestia czy na innym kompie by to poszło przepinając dysk czy to "auto-szyfro" zapisuje coś do TPM.
  • #33
    kaleron

    HDD and data recovery specialist
    mobo wrote:
    jeszcze kwestia czy na innym kompie by to poszło przepinając dysk czy to "auto-szyfro" zapisuje coś do TPM.
    - i czy to, co ewentualnie zapisuje jest niezbędne dla dostępu do danych, cze wystarczające jest to, co na partycji.

    A teraz jeszcze wyobraźmy sobie, że na dysku z takim czymś posypało uszkodzonymi sektorami. Szyfrowanie uniemożliwia nam swobodny dostęp do struktur logicznych. Wykonujemy pełną kopię, bo nie możemy nawet podjąć próby np. zmapowania zajętych obszarów bez uprzedniego odszyfrowania zawartości. Kopia wykonuje nam się z mniejszymi lub większymi dziurami, które w konsekwencji zaśmiecają nam zawartość odszyfrowanego rezultatu. O ile w ogóle nie uniemożliwią nam odszyfrowania.
  • #34
    CodeBoy
    Level 28  
    kaleron wrote:
    mobo wrote:
    jeszcze kwestia czy na innym kompie by to poszło przepinając dysk czy to "auto-szyfro" zapisuje coś do TPM.
    - i czy to, co ewentualnie zapisuje jest niezbędne dla dostępu do danych, cze wystarczające jest to, co na partycji.

    A teraz jeszcze wyobraźmy sobie, że na dysku z takim czymś posypało uszkodzonymi sektorami. Szyfrowanie uniemożliwia nam swobodny dostęp do struktur logicznych. Wykonujemy pełną kopię, bo nie możemy nawet podjąć próby np. zmapowania zajętych obszarów bez uprzedniego odszyfrowania zawartości. Kopia wykonuje nam się z mniejszymi lub większymi dziurami, które w konsekwencji zaśmiecają nam zawartość odszyfrowanego rezultatu. O ile w ogóle nie uniemożliwią nam odszyfrowania.


    Dlatego wymyślono coś takiego jak Backup :)
  • #35
    kaleron

    HDD and data recovery specialist
    CodeBoy wrote:
    Backup
    i dlatego sugeruję mieć co najmniej jedną kopię danych niezaszyfrowanych, a chronić ją przed nieautoryzowanym dostępem przez fizyczne odseparowanie od niewłaściwych rąk i oczu (całkowite odcięcie od zasobów sieciowych, przechowywanie w bezpiecznym miejscu, niewynoszenie poza dom/biuro).
  • #36
    mobo
    Level 12  
    kaleron wrote:
    i dlatego sugeruję mieć co najmniej jedną kopię danych niezaszyfrowanych


    Ależ Kaleron po co ta jedna niezaszyfrowana??? Klucz to odszyfrowania mojego Veracrypt mam głowie. Mogę to wszędzie w dowolnym miejscu podmontować nie ma żadnego zasranego TPM ani innych niespodzianek. Masz klucz masz dane. Mam kopie bezpieczeństwa nagłówka każdego zaszyfrowanego voluminu jak Vera proponuje przy każdym szyfrowaniu. Zresztą w samym szyfrowanym voluminie jest też kopia nagłówka nawet jakby jej nie zrobił oddzielnie. Więc jak masz hasło-klucz to zawsze jest dostęp do danych.
  • #37
    kaleron

    HDD and data recovery specialist
    mobo wrote:
    Masz klucz masz dane
    - jeśli masz nieuszkodzoną partycję. Poszukaj na Elektrodzie wątków dotyczących odzyskiwania danych z partycji zaszyfrowanych, które zostały w jakiś, często niewielki sposób uszkodzone. Fajnie, że jesteś świadomy i stosujesz różne zabezpieczenia, ale nieprawdą jest, że zastosowanie wszystkich możliwych zabezpieczeń chroni przed wszystkimi możliwymi zagrożeniami.
  • #38
    mobo
    Level 12  
    kaleron wrote:
    mobo wrote:
    Masz klucz masz dane
    - jeśli masz nieuszkodzoną partycję. Poszukaj na Elektrodzie wątków dotyczących odzyskiwania danych z partycji zaszyfrowanych, które zostały w jakiś, często niewielki sposób uszkodzone. Fajnie, że jesteś świadomy i stosujesz różne zabezpieczenia, ale nieprawdą jest, że zastosowanie wszystkich możliwych zabezpieczeń chroni przed wszystkimi możliwymi zagrożeniami.


    Ale ja ważne dane mam na 3 oddzielnych dyskach co prawda 3 dyski w jednym mieszkaniu wiec mogłyby się spalić w pożarze. Jednak najważniejsze rzeczy dodatkowo są w necie w zaszyfrowanym kontenerze tez Veracrypt. A mam jeszcze ratunkowy ISO do naprawy uszkodzonego bootloadera Veracrypt żeby nie odszyfrowywać partycji systemowej i nie szyfrować ponownie jakby sam bootloader uległ uszkodzeniu.
  • #39
    kaleron

    HDD and data recovery specialist
    mobo wrote:
    ważne dane mam na 3 oddzielnych dyskach
    A wiesz ilu ludzi backup trzyma na tym samym dysku w osobnym katalogu? :)

    Nigdy nie powiem, że Twoje dane są na 100 % bezpieczne, ale na pewno jesteś blisko:)
  • #40
    mobo
    Level 12  
    kaleron wrote:
    A wiesz ilu ludzi backup trzyma na tym samym dysku w osobnym katalogu?


    Hahaha no nie mów haha :-) Widziałem jak z partycji na partycje robią bo mi tłumaczy że z C zrobił backup na D ale to o czym mówisz to się najlepszym hakerom nie śniło :P

    A tak apropo jakie według ciebie dyski są w miarę niezawodne? Chcę wymienić jeden dysk na nowy bo ma już ponad 76000 godzin przepracowanych i myślę o WD RED ?
  • #41
    kaleron

    HDD and data recovery specialist
    Wszystko się psuje, ale:
    WD rzadziej od Seagatów,
    CMR znacznie rzadziej od SMR,
    slim częściej, niż cokolwiek innego.

    Co do kolorów etykietek -dużo w tym marketingu i niejeden raz mi się zdarzyło przekładać części z bardzo podobnych dysków, które miały etykietki w różnym kolorze. Trudno mi się precyzyjnie odnieść do tego, na ile warto inwestować w bardziej renomowane kolory, bo to, że czerwone przychodzą rzadziej może też wynikać z ich mniejszej popularności na rynku.
  • #42
    CodeBoy
    Level 28  
    Ja mam 2 REDy w Synology 2TB, jeden padł po roku drugi chodzi już blisko 9 lat. ten padnięty wymienili na gwarancji i też chodzi.
  • #43
    helmud7543
    Level 43  
    Mogę tylko powiedzieć że mam 5 WD black, w tym jeden 60 000 h przebiegu, nie są delikatnie traktowane i nie mam z nimi problemów. Kopie sobie robię 2,a bardzo ważne 3,ale i tak zdarzyło mi się utracić ważne rzeczy bo zapomniałem ich zbackupować. Oczywiście kopie w różnych nie tylko urządzeniach ale i miejscach. Ale kopie są na innych, wolniejszych ale większych dyskach, niestety już smr. Black są robocze choć i na nich jest porozrzucane większość ważnych danych.
  • #44
    CodeBoy
    Level 28  
    Mój rekordowy z komputera Black właśnie
    Znalezienie klucza odzyskiwania BitLocker z dysku, uszkodzonego laptopa.
  • #45
    mobo
    Level 12  
    kaleron wrote:
    WD rzadziej od Seagatów


    Kaleron korzystając z twojej wiedzy czy jak mam dysk Seagate:

    ID modelu ST2000DM001-1ER164
    Numer wydania CC26

    To mam się czego bać? Bo kupiłem go parę lat temu a później dowiedziałem się w necie co i ty potwierdzasz że Seagate bardziej awaryjne. Mam na nim 38000 godzin nalatane. Później żałowałem że nie kupiłem WD.

    Dodano po 5 [minuty]:

    CodeBoy wrote:
    Mój rekordowy z komputera Black właśnie


    Mój rekordowy :)

    Znalezienie klucza odzyskiwania BitLocker z dysku, uszkodzonego laptopa.
  • #46
    kaleron

    HDD and data recovery specialist
    mobo wrote:
    ST2000DM001-1ER164
    - dość częsty pacjent, ale też model popularny na rynku. Z reguły problemy oprogramowania układowego, czasem mechanika. Są gorsze wynalazki, ale nie będę tego Seagata chwalił, by mu się w talerzach nie poprzewracało.
  • #47
    mobo
    Level 12  
    kaleron wrote:
    Z reguły problemy oprogramowania układowego


    Skąd się biorą właśnie takie problemy oprogramowania. Jak jest sobie firmware w kości pamięci to jak się może uszkodzić??? Dlaczego CMR psują się mniej od SMR? Niby to tylko różnica w zapisie ??
  • #48
    K3
    Level 27  
    mobo wrote:


    Mój rekordowy :)

    Znalezienie klucza odzyskiwania BitLocker z dysku, uszkodzonego laptopa.


    Mam podobne, bo dwie sztuki. Chodziły w RAID, potem zaczęło brakować miejsca.

    Znalezienie klucza odzyskiwania BitLocker z dysku, uszkodzonego laptopa.
  • #49
    kaleron

    HDD and data recovery specialist
    mobo wrote:
    Jak jest sobie firmware w kości pamięci to jak się może uszkodzić???
    - przeważnie uszkadza się ta część oprogramowania, która jest na talerzu. O uszkodzenie mikrokodu z EEPROMu faktycznie trzeba się postarać.

    mobo wrote:
    Dlaczego CMR psują się mniej od SMR?
    - ze względu na różnice w podsystemie translacji adresów logicznych na fizyczne. Wybacz, że mocno w skrócie, trochę nie mam czasu, by opisać ten temat z taką szczegółowością, na jaką zasługuje. W każdym razie przy zapisie CMR numery logiczne sektorów możemy w zasadzie uważać za przyporządkowane na stałe do określonych sektorów fizycznych. W przypadku SMR jest to dużo bardziej skomplikowane. Adresy logiczne w różnych sytuacjach mogą się znajdować w różnych fizycznych lokalizacjach. Przy tym ten sam sektor LBA może wystąpić na dysku dwa razy - w wersji aktualnej i nieaktualnej. I dysk musi wiedzieć, który z tych sektorów powinien wystawić na interfejs zewnętrzny, kiedy poprosisz o odczytanie zawartości. Coś musi tym zarządzać i to coś może nawalić. I właśnie awarie bardziej złożonego podsystemu translacji są podstawową bolączką dysków SMR. A wynika to wprost z
    mobo wrote:
    różnica w zapisie


    Jeśli zapisujesz ścieżki częściowo przykrawając sąsiednie, tracisz swobodny dostęp do sektora przy zapisie. Nadpisując ten sektor uszkodziłbyś sąsiednie, gdyż głowica indukuje pole magnetyczne skutkujące przemagnesowaniem obszaru szerszego od szerokości ścieżki. A więc zmieniając zawartość jednego sektora musiałbyś przepisać całą grupę ścieżek (w skrajnym przypadku całą powierzchnię talerza, ale takich rozwiązań nie stosuje się w praktyce - ścieżki grupuje się w strefy o pojemności liczonej w dziesiątkach MB). To znacznie więcej operacji, niż w przypadku dysków CMR, gdzie głowica może nadpisać pojedynczy sektor nie uszkadzając sąsiednich. Ale takie rozwiązanie z definicji zabiłoby wydajność tych dysków przy zapisie. Dlatego stosuje się różne rozwiązania pozwalające zapisywać nową zawartość sektorów w innym fizycznym miejscu. Wymaga to jednak skomplikowania podsystemu translacji adresów logicznych na fizyczne, o czym wspomniałem wyżej.

    Jak się trochę powywiązuję z różnych zobowiązań, opiszę to zagadnienie bardziej szczegółowo.
  • #50
    mobo
    Level 12  
    Dzięki za wyjaśnienie, czy ja dobrze rozumiem że taki dysk musi mieć chyba sporo nadmiarowego miejsca do tych operacji że tu był sektor teraz przepiszemy w inne miejsce żeby sąsiednich nie przemagnesować trzeba dystans od nich mieć itp ?
  • #51
    kaleron

    HDD and data recovery specialist
    Tak. I jeśli to nadmiarowe miejsce zapchasz, następuje drastyczny spadek prędkości zapisu, aż coś się uda uporządkować. To bardzo skomplikowany mechanizm pilnowania położenia właściwych sektorów w taki sposób, by było to niezauważalne dla Ciebie i Twojego systemu plików.
  • #52
    mobo
    Level 12  
    kaleron wrote:
    I jeśli to nadmiarowe miejsce zapchasz, następuje drastyczny spadek prędkości zapisu


    Ale to na zdrowy rozum nie powinien pozwolić tego zapchać? Jest to wykorzystania np 1TB to tylko tyle mogę wykorzystać?
  • #53
    kaleron

    HDD and data recovery specialist
    Dlatego właśnie przestaje przyjmować dane i zaczyna sprzątać bufor. Tymczasem dane, które chcesz zapisać na tym dysku, stoją w korku przed kablem i czekają na zielone światło dla wznowienia transferu.