Восстановление удалённого раздела TrueCrypt

в 9:53, , рубрики: truecrypt, Восстановление данных
В связи с прекращением проекта тема менее актуальна, но всё же

Восстановление удалённого раздела TrueCrypt

В своё время, устанавливая Windows, я решил не трогать системный раздел, но зашифровать раздел с данными.
В результате HDD выглядел так:

Восстановление удалённого раздела TrueCrypt

Последний раздел на 831,51гб – это том, зашифрованный с помощью TrueCrypt.
В связи с досадной ошибкой, я удалил все разделы со своего HDD.
Есть множество программ, восстанавливающих удалённые разделы, (мне помог Paragon HDM), но так как том TrueCrypt невозможно отличить от набора случайных данных, ни одна программа обнаружить его не смогла.

Ниже вы узнаете, как можно восстановить удалённый том TrueCrypt (обладая паролем/ключевым файлом)

Сперва надо найти начало раздела TrueCrypt.
Я знал, что мой зашифрованный раздел располагался сразу после первых двух, туда и отправился:
WinHex, Tools -> Open Disk. Открываем свой HDD. Открыв, выбираем последний существующий раздел.

Восстановление удалённого раздела TrueCrypt

Раздел 2 начинается в секторе 206 848 и занимает 209 510 400 секторов.
Следовательно, следующий раздел должен начинаться в секторе 209 717 248.
Переходим туда: Navigation -> Go to Sector
В начале зашифрованного раздела хранятся заголовки TrueCrypt-партиции.
Для проверки сохраним в файл первые 200кб (это можно сделать даже в демо-версии WinHex):
Edit -> Define block
В Beginning Указываем offset, с которого начинается наша предполагаемая партиция.
В End указываем его же + 204800 (у меня WinHex корректно работал только если OffSet в режиме Hex, переключить режим можно кликая по столбцу Offset).
В моём случае, это были 1900100000(h) и 1900132000(h)
Выделенный блок надо сохранить в файл:
Edit -> Copy Block -> Into New File -> header.tc
Получившийся файл монтируем на свободную букву при помощи TrueCrypt:

Восстановление удалённого раздела TrueCrypt

Если файл удалось смонтировать – значит заголовок, действительно, располагался здесь.
Откроем свойства тома и запишем его размер: 892 826 550 272 байт

Восстановление удалённого раздела TrueCrypt

Так же, для проверки, можно открыть смонтированный раздел с помощью WinHex.
Он, конечно, ругнётся – но мы сможем увидеть начало нашей расшифрованной партиции:
Tools -> Open Disk -> выбираем букву, куда мы смонтировали файл (у меня Z: )

Восстановление удалённого раздела TrueCrypt

Ок, пока всё получается.
Размонтируйте диск Z:, приступаем к ремонту.

ПРЕДУПРЕЖДАЮ:
На этом этапе лучше сделать посекторную копию HDD на случай, если что-то пойдёт не так!

Размер TC-партиции, как мы выяснили ранее, был 892 826 550 272 байт (у вас будет другой). К этому числу надо прибавить стандартный размер TrueCrypt-заголовка: 262144 байт.
Итого, размер создаваемой партиции должен быть 892826812416 байт
Дважды делим на 1024 – получаем размер в мегабайтах. Теперь можно создать раздел обычным диспетчером дисков Windows (он позволяет указать размер только в мегабайтах).

При создании раздела НЕ назначайте ему букву и НЕ ФОРМАТИРУЙТЕ его:

Восстановление удалённого раздела TrueCrypt

Во время создания раздела его начало было затёрто – но у нас есть копия.
Запустите WinHex с правами администратора и переведите его в режим редактирования:
Option -> Edit Mode -> Default Edit Mode
Откройте начало созданного раздела – там должны быть нули:

Восстановление удалённого раздела TrueCrypt

Теперь открывайте сохранённую копию заголовка раздела, выделяйте и копируйте оттуда недостающие блоки:
Edit -> Copy Block -> Normally

Восстановление удалённого раздела TrueCrypt

Возвращайтесь к нашему разделу, кликните по его первому блоку и вставляйте данные:
Edit -> Clipboard Data -> Write
File -> Save Sectors
Готово, теперь раздел должен монтироваться с помощью TrueCrypt

PS Один раз у меня монтировались извлечённые в файл заголовки, но не монтировался раздел.
Помогло создание раздела чуть меньшего размера.

Автор: Ghool

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js