Восстановление данных с тома, зашифрованного Veracrypt. - Страница 4

9285 · 23.01.2020, 17:22

igarilla
Про сигареты подразумевается что когда тебе надо было, ты просил. А теперь не можешь банально написать что именно помогло.
Потому как это раньше являлось нормой поведения на форумах. К тому же, учитывая описание заголовка тома, понятно что том с занулённым началом не примонтируется.
Есть вариант включить монтировать из запасного заголовка, но в таком случае и восстановление бы прошло.

И да, скрин нужен при открытии логического диска O

igarilla · 23.01.2020, 17:24

Как мне сейчас действовать, как восстановить данные на разделе, как сделать из RAW - NTFS ?

9285 · 23.01.2020, 17:28

Прочесть вышенаписанное.

igarilla · 23.01.2020, 17:32

Цитата (9285) »

Про сигареты подразумевается что когда тебе надо было, ты просил. А теперь не можешь банально написать что именно помогло.
Потому как это раньше являлось нормой поведения на форумах.

Прошу простить! Сделал следующее: В VeraCrypt: Устройство - Выбор раздела - Ок - Система - Смонтировать без дозагрузочной аутентификации - Ввел пароль - Ок = раздел смонтирован

Добавлено через 2 минуты

Сейчас начал сканировать смонтированный раздел, или не надо?

igarilla · 23.01.2020, 17:38

Цитата (9285) »

И да, скрин нужен при открытии логического диска O

вот -

igarilla · 23.01.2020, 17:40

и ещё =

9285 · 23.01.2020, 17:53

Нужен скрин экрана Разделы из DMDE - только открывать не физический диск а логический.

Добавлено через 3 минуты

Цитата

Смонтировать без дозагрузочной аутентификации

Насколько я понял, это относится к зашифрованным системным разделам.
Будет время, попробую посмотреть как оно в веракрипте, но в случае трукрипта после переустановки системы зашифрованный раздел с данными подключается без проблем без этой опции.

igarilla · 23.01.2020, 18:11

Цитата (9285) »

Нужен скрин экрана Разделы из DMDE - только открывать не физический диск а логический.

вот -

igarilla · 23.01.2020, 18:12

Цитата (9285) »

Насколько я понял, это относится к зашифрованным системным разделам.

так и есть, в инструкции так и написано

9285 · 23.01.2020, 18:33

На скриншоте видно что бутсектор тома заполнен мусором.
Соответственно, надо его имплантировать. но для этого нужно знать где находится MFT.
С другой стороны. очень явно выпирает том с началом в секторе 2048.
Я бы мог понять что в этом секторе находится какой то бутсектор из имиджа и т.п., но размер чётко соответствует твоему. Поэтому всё таки спрошу

Ты в этот том заходил? Есть там твои данные? Метка тома знакомая?

Добавлено через 35 секунд

Цитата (igarilla) »

так и есть, в инструкции так и написано

Но данные то у тебя на несистемном.

igarilla · 23.01.2020, 18:37

Цитата (9285) »

Но данные то у тебя на несистемном

да, на несистемном

Добавлено через 1 минуту

Цитата (9285) »

Ты в этот том заходил? Есть там твои данные? Метка тома знакомая?

хз, что значит заходил?

igarilla · 23.01.2020, 18:39

вот ещё скрин -

igarilla · 23.01.2020, 18:40

Цитата (9285) »

Ты в этот том заходил? Есть там твои данные? Метка тома знакомая?

как туда зайти?

9285 · 23.01.2020, 18:50

Выделить строку Disk и открыть том.

igarilla · 23.01.2020, 18:58

Цитата (9285) »

Выделить строку Disk и открыть том.

да все данные на месте

Добавлено через 37 секунд

как их сейчас увидеть на диске?

Добавлено через 52 секунды

и пользоваться ими

igarilla · 23.01.2020, 19:09

Цитата (igarilla) »

как их сейчас увидеть на диске?

Цитата (igarilla) »

и пользоваться ими

Так? -

9285 · 23.01.2020, 19:33

Цитата

да все данные на месте

Надо проверить что они целые.

Цитата

как их сейчас увидеть на диске?

Конструкция не очень понятная (в смысле то, что том смещён) - нечто подобное встречал в разметке обычного диска, но не уверен что сработает в таком раскладе.
В любом случае, можешь восстановить данные, проверить а потом перекриптовать раздел (если это необходимо) и вернуть на него данные.

igarilla · 23.01.2020, 19:43

Цитата (9285) »

но не уверен что сработает в таком раскладе

чем это чревато?

Добавлено через 1 минуту

Цитата (9285) »

В любом случае, можешь восстановить данные

так восстанавливать, как выше на скриншоте?

Добавлено через 2 минуты

Цитата (9285) »

проверить а потом перекриптовать раздел

как проверить? и что значит перекриптовать?

igarilla · 24.01.2020, 07:25

Проблема решена. Решение: Монтируем зашифрованный раздел (тот что 263 гига на посекторке) в VeraCrypt: Устройство - выбираем том для дешифрования (263 гига) - Ok - Система - Смонтировать без дозагрузочной аутентификации - Ввод пароля = Том смонтирован. Далее в DMDE открываем смонтированный том = Все файлы и папки на месте и восстанавливаются = Счастье!!!
Всем огромная благодарность за помощь, дай бог Вам и вашим близким здоровья!!!

9285 · 24.01.2020, 22:02

Вчера не было возможности ответить, и несмотря на то что проблема решилась, всё таки напишу

Цитата

чем это чревато?

Технические подробности проблемы с открытием тома будут позже, но если говорить о восстановлении по месту, то предположил вариант посекторного смешения тома, но нет уверенности что веракрипт позволит сделать такое.
Соответственно, нельзя предположить что получится.

Цитата

как проверить? и что значит перекриптовать?

Проверка зависит от типа данных.
Если они имеют контроль целостности, например архивы, то тестированием их.
Если такого контроля нет, но при этом можно найти повреждения визуально (на слух), то просмотром файлов.
Если речь идёт оJPEG-файлах, то в какой то из тем этот вопрос затрагивался, и (по памяти) в этом деле может помочь программа Bad Peggy.

Добавлено через 8 минут

Цитата

и что значит перекриптовать?

Актуально если не надоело играть в шпионов.

Восстановить данные на что то - например на тот же созданный тобой раздел, после чего очистить существующий зашифрованный раздел и зашифровать по новой.
После, всенепременно зачистить следы восстановленных данных там, куда их восстанавливали, чтобы враги не смогли прочесть.

Добавлено через 1 час 46 минут

Теперь что касается решения.
Вступительное слово.

СПОЙЛЕР »

Несмотря на то, что написано что решено, есть некоторые уточнения и сомнения. И они не голословны, и уж тем более не с целью как то "обидеть" автора темы" - просто для меня важна истина.
Сразу оговорюсь про то, что с VeraCrypt познакомился именно при разборе этого случая, хотя она "выросла" из True Crypt (с которой знаком чуть больше) и многие моменты, в том числе структурные, у них идентичны.

Начну с обратной стороны, так как именно по ней всё почти понятно.
Собственно задача Veracrypt смонтировать раздел (актуально и для файлов-контейнеров) а далее в работу вступает обычная винда. И если в структуре тома имеются какие либо ошибки, логические или связанные с физическими, то том может быть недоступным. По типу того как это было у автора. В принципе. это можно было бы списать на то, что при посекторном копировании не вычитались какие то сектора и вместо их содержимого записались или нули или какие то шаблоны типа BAD SECT, SKIP и т.п., или "мусор". Шифровщик не понимает что это не оригинальные данные, но расшифровывает их, и на выходе получаем мусор уже в структуре примонтированного (*) тома. И если он попадает в какие то критичные места, то и возникает ошибка доступа или диск идентифицируется как RAW. Если же мусор попадает в сами данные, то получаем битые данные - неоткрывающееся или повреждённое фото, битый архив и т.п.
(*) По большому счёту, программе достаточно подсунуть только заголовок и она его примонтирует

- понятно что в таком томе не будет ничего кроме свойств; и этот трюк используется для ручного поиска и определения свойств зашифровааного тома (контейнера).
В данном случае с самим томом и данными вроде бы всё в порядке, но почему то том начинается со смещением в 2048 секторов. Учитывая оговорку во вступлении, я не могу утверждать что это может быть, тем более что в противном случае том был бы доступен и не потребовалось бы восстанавливать данные на другой носитель. по крайней мере те тома, с которыми мне довелось сталкиваться, начинались в секторе 0.

СПОЙЛЕР »

Не знаю чем можно обьяснить имеющееся смещение - ну разве что тем, что в каком то из повреждённых секторов хранится информация о смещении и она трактовалась неправильно. Хотя лично я считаю эту версию бредовой, тем более что смещение достаточно характерное - но что есть, то есть. Но, есть ещё одна гипотеза

- в своё время сталкивался с очень нестандартной разметкой, выполненной "легендарным" акронисом. Увы, но нюансы не помню и не получилось смоделировать эту ситуацию, но выглядело это примерно. В балице разделов прописан том, но в месте где должен быть его бутсектор находится расширенная таблица и в ней указано смещение уже реального тома. Самое смешное - это работало (возможно что в старых версиях винды). Если такой том воспринимался виндой за рабочий, то не исключаю что и шифровщик мог работать с ним и зашифровать вот в таком конструктиве. Других идей нет.

Как бы то не было, собственно после монтирования раздела, том был недоступен, но используя нормально ПО для восстановления с него можно было вытащить данные. Что собственно и сделал автор темы.
Продолжение следует.....

23.01.2020, 17:38	[включить плавающее окно] Вверх #65
igarilla Начинающий Автор темы Регистрация: 20.01.2020	Цитата (9285) » И да, скрин нужен при открытии логического диска O вот - Миниатюры

23.01.2020, 17:40	[включить плавающее окно] Вверх #66
igarilla Начинающий Автор темы Регистрация: 20.01.2020	и ещё = Миниатюры

23.01.2020, 18:11	[включить плавающее окно] Вверх #68
igarilla Начинающий Автор темы Регистрация: 20.01.2020	Цитата (9285) » Нужен скрин экрана Разделы из DMDE - только открывать не физический диск а логический. вот - Миниатюры

23.01.2020, 18:39	[включить плавающее окно] Вверх #72
igarilla Начинающий Автор темы Регистрация: 20.01.2020	вот ещё скрин - Миниатюры

23.01.2020, 19:09	[включить плавающее окно] Вверх #76
igarilla Начинающий Автор темы Регистрация: 20.01.2020	Цитата (igarilla) » как их сейчас увидеть на диске? Цитата (igarilla) » и пользоваться ими Так? - Миниатюры

23.01.2020, 17:22	[включить плавающее окно] Вверх #61
9285 Умудрённый Регистрация: 08.02.2019 Адрес: https://t.me/help9285	igarilla Про сигареты подразумевается что когда тебе надо было, ты просил. А теперь не можешь банально написать что именно помогло. Потому как это раньше являлось нормой поведения на форумах. К тому же, учитывая описание заголовка тома, понятно что том с занулённым началом не примонтируется. Есть вариант включить монтировать из запасного заголовка, но в таком случае и восстановление бы прошло. И да, скрин нужен при открытии логического диска O

23.01.2020, 17:24	[включить плавающее окно] Вверх #62
igarilla Начинающий Автор темы Регистрация: 20.01.2020	Как мне сейчас действовать, как восстановить данные на разделе, как сделать из RAW - NTFS ?

23.01.2020, 17:28	[включить плавающее окно] Вверх #63
9285 Умудрённый Регистрация: 08.02.2019 Адрес: https://t.me/help9285	Прочесть вышенаписанное.

23.01.2020, 17:32	[включить плавающее окно] Вверх #64
igarilla Начинающий Автор темы Регистрация: 20.01.2020	Цитата (9285) » Про сигареты подразумевается что когда тебе надо было, ты просил. А теперь не можешь банально написать что именно помогло. Потому как это раньше являлось нормой поведения на форумах. Прошу простить! Сделал следующее: В VeraCrypt: Устройство - Выбор раздела - Ок - Система - Смонтировать без дозагрузочной аутентификации - Ввел пароль - Ок = раздел смонтирован Добавлено через 2 минуты Сейчас начал сканировать смонтированный раздел, или не надо?

23.01.2020, 17:53	[включить плавающее окно] Вверх #67
9285 Умудрённый Регистрация: 08.02.2019 Адрес: https://t.me/help9285	Нужен скрин экрана Разделы из DMDE - только открывать не физический диск а логический. Добавлено через 3 минуты Цитата Смонтировать без дозагрузочной аутентификации Насколько я понял, это относится к зашифрованным системным разделам. Будет время, попробую посмотреть как оно в веракрипте, но в случае трукрипта после переустановки системы зашифрованный раздел с данными подключается без проблем без этой опции.

23.01.2020, 18:12	[включить плавающее окно] Вверх #69
igarilla Начинающий Автор темы Регистрация: 20.01.2020	Цитата (9285) » Насколько я понял, это относится к зашифрованным системным разделам. так и есть, в инструкции так и написано

23.01.2020, 18:33	[включить плавающее окно] Вверх #70
9285 Умудрённый Регистрация: 08.02.2019 Адрес: https://t.me/help9285	На скриншоте видно что бутсектор тома заполнен мусором. Соответственно, надо его имплантировать. но для этого нужно знать где находится MFT. С другой стороны. очень явно выпирает том с началом в секторе 2048. Я бы мог понять что в этом секторе находится какой то бутсектор из имиджа и т.п., но размер чётко соответствует твоему. Поэтому всё таки спрошу Ты в этот том заходил? Есть там твои данные? Метка тома знакомая? Добавлено через 35 секунд Цитата (igarilla) » так и есть, в инструкции так и написано Но данные то у тебя на несистемном.

23.01.2020, 18:37	[включить плавающее окно] Вверх #71
igarilla Начинающий Автор темы Регистрация: 20.01.2020	Цитата (9285) » Но данные то у тебя на несистемном да, на несистемном Добавлено через 1 минуту Цитата (9285) » Ты в этот том заходил? Есть там твои данные? Метка тома знакомая? хз, что значит заходил?

23.01.2020, 18:40	[включить плавающее окно] Вверх #73
igarilla Начинающий Автор темы Регистрация: 20.01.2020	Цитата (9285) » Ты в этот том заходил? Есть там твои данные? Метка тома знакомая? как туда зайти?

23.01.2020, 18:50	[включить плавающее окно] Вверх #74
9285 Умудрённый Регистрация: 08.02.2019 Адрес: https://t.me/help9285	Выделить строку Disk и открыть том.

23.01.2020, 18:58	[включить плавающее окно] Вверх #75
igarilla Начинающий Автор темы Регистрация: 20.01.2020	Цитата (9285) » Выделить строку Disk и открыть том. да все данные на месте Добавлено через 37 секунд как их сейчас увидеть на диске? Добавлено через 52 секунды и пользоваться ими

23.01.2020, 19:33	[включить плавающее окно] Вверх #77
9285 Умудрённый Регистрация: 08.02.2019 Адрес: https://t.me/help9285	Цитата да все данные на месте Надо проверить что они целые. Цитата как их сейчас увидеть на диске? Конструкция не очень понятная (в смысле то, что том смещён) - нечто подобное встречал в разметке обычного диска, но не уверен что сработает в таком раскладе. В любом случае, можешь восстановить данные, проверить а потом перекриптовать раздел (если это необходимо) и вернуть на него данные.

23.01.2020, 19:43	[включить плавающее окно] Вверх #78
igarilla Начинающий Автор темы Регистрация: 20.01.2020	Цитата (9285) » но не уверен что сработает в таком раскладе чем это чревато? Добавлено через 1 минуту Цитата (9285) » В любом случае, можешь восстановить данные так восстанавливать, как выше на скриншоте? Добавлено через 2 минуты Цитата (9285) » проверить а потом перекриптовать раздел как проверить? и что значит перекриптовать? Последний раз редактировалось igarilla; 23.01.2020 в 19:45.

24.01.2020, 07:25	[включить плавающее окно] Вверх #79
igarilla Начинающий Автор темы Регистрация: 20.01.2020	Проблема решена. Решение: Монтируем зашифрованный раздел (тот что 263 гига на посекторке) в VeraCrypt: Устройство - выбираем том для дешифрования (263 гига) - Ok - Система - Смонтировать без дозагрузочной аутентификации - Ввод пароля = Том смонтирован. Далее в DMDE открываем смонтированный том = Все файлы и папки на месте и восстанавливаются = Счастье!!! Всем огромная благодарность за помощь, дай бог Вам и вашим близким здоровья!!!

24.01.2020, 22:02	[включить плавающее окно] Вверх #80
9285 Умудрённый Регистрация: 08.02.2019 Адрес: https://t.me/help9285	Вчера не было возможности ответить, и несмотря на то что проблема решилась, всё таки напишу Цитата чем это чревато? Технические подробности проблемы с открытием тома будут позже, но если говорить о восстановлении по месту, то предположил вариант посекторного смешения тома, но нет уверенности что веракрипт позволит сделать такое. Соответственно, нельзя предположить что получится. Цитата как проверить? и что значит перекриптовать? Проверка зависит от типа данных. Если они имеют контроль целостности, например архивы, то тестированием их. Если такого контроля нет, но при этом можно найти повреждения визуально (на слух), то просмотром файлов. Если речь идёт оJPEG-файлах, то в какой то из тем этот вопрос затрагивался, и (по памяти) в этом деле может помочь программа Bad Peggy. Добавлено через 8 минут Цитата и что значит перекриптовать? Актуально если не надоело играть в шпионов. Восстановить данные на что то - например на тот же созданный тобой раздел, после чего очистить существующий зашифрованный раздел и зашифровать по новой. После, всенепременно зачистить следы восстановленных данных там, куда их восстанавливали, чтобы враги не смогли прочесть. Добавлено через 1 час 46 минут Теперь что касается решения. Вступительное слово. СПОЙЛЕР » Несмотря на то, что написано что решено, есть некоторые уточнения и сомнения. И они не голословны, и уж тем более не с целью как то "обидеть" автора темы" - просто для меня важна истина. Сразу оговорюсь про то, что с VeraCrypt познакомился именно при разборе этого случая, хотя она "выросла" из True Crypt (с которой знаком чуть больше) и многие моменты, в том числе структурные, у них идентичны. Начну с обратной стороны, так как именно по ней всё почти понятно. Собственно задача Veracrypt смонтировать раздел (актуально и для файлов-контейнеров) а далее в работу вступает обычная винда. И если в структуре тома имеются какие либо ошибки, логические или связанные с физическими, то том может быть недоступным. По типу того как это было у автора. В принципе. это можно было бы списать на то, что при посекторном копировании не вычитались какие то сектора и вместо их содержимого записались или нули или какие то шаблоны типа BAD SECT, SKIP и т.п., или "мусор". Шифровщик не понимает что это не оригинальные данные, но расшифровывает их, и на выходе получаем мусор уже в структуре примонтированного () тома. И если он попадает в какие то критичные места, то и возникает ошибка доступа или диск идентифицируется как RAW. Если же мусор попадает в сами данные, то получаем битые данные - неоткрывающееся или повреждённое фото, битый архив и т.п. () По большому счёту, программе достаточно подсунуть только заголовок и она его примонтирует - понятно что в таком томе не будет ничего кроме свойств; и этот трюк используется для ручного поиска и определения свойств зашифровааного тома (контейнера). В данном случае с самим томом и данными вроде бы всё в порядке, но почему то том начинается со смещением в 2048 секторов. Учитывая оговорку во вступлении, я не могу утверждать что это может быть, тем более что в противном случае том был бы доступен и не потребовалось бы восстанавливать данные на другой носитель. по крайней мере те тома, с которыми мне довелось сталкиваться, начинались в секторе 0. СПОЙЛЕР » Не знаю чем можно обьяснить имеющееся смещение - ну разве что тем, что в каком то из повреждённых секторов хранится информация о смещении и она трактовалась неправильно. Хотя лично я считаю эту версию бредовой, тем более что смещение достаточно характерное - но что есть, то есть. Но, есть ещё одна гипотеза - в своё время сталкивался с очень нестандартной разметкой, выполненной "легендарным" акронисом. Увы, но нюансы не помню и не получилось смоделировать эту ситуацию, но выглядело это примерно. В балице разделов прописан том, но в месте где должен быть его бутсектор находится расширенная таблица и в ней указано смещение уже реального тома. Самое смешное - это работало (возможно что в старых версиях винды). Если такой том воспринимался виндой за рабочий, то не исключаю что и шифровщик мог работать с ним и зашифровать вот в таком конструктиве. Других идей нет. Как бы то не было, собственно после монтирования раздела, том был недоступен, но используя нормально ПО для восстановления с него можно было вытащить данные. Что собственно и сделал автор темы. Продолжение следует.....