Восстановление данных с тома, зашифрованного Veracrypt.

[9285]

Теперь что касается монтирования самого тома.
Всё написанное относится лишь к тому, что получено при моделировании ситуации и некоторых экспериментах в процессе такового.

Самое важное о чём надо отметить сразу - наличие двух разных типов монтирования томов.
1. Исходя из названия опции в параметрах монтирования "Без предзагрузочной аутентификации". Собственно такой режим и использовался автором темы.
Используется в случае шифровки всего системного диска (или только системного раздела). В этом случае, при загрузке системы запрашивается пароль.
Если шифровался весь диск, то автоматически монтируются и остальные зашифрованные разделы. Если же шифровался только системный раздел, а остальные разделы уже впоследствии, то для этих дополнительных разделов используется другой способ аутентификации (2-ой).
2. Монтирование, при котором указывается пароль и выбирается необходимая буква тома. К этому типу можно отнести и автомонтирование - в этом случае программа сама ищет защифрованные разделы и пытается их монтировать.

Для каждого из типов используется разный подход, и это было видно в теме, в процессе обсуждения.
В случае второго типа, повреждение заголовка приводит к отказу монтирования, но в опциях монтирования можно включить использование копии заголовка (на скриншоте выделено оранжевым). При этом том монтируется с учётом данных копии. При таком типе аутентификации доступна возможность восстановления заголовка из его копии заголовка,
А вот в первом типе всё происходит по другому. Восстановление заголовка из копии (по крайней мере из тела тома) не работает, что и было в случае автора темы. Скорей всего, такая возможность имеется при загрузке со специального загрузочного диска, но этот вариант пока не проверен. Том можно примонтировать с включением указанной ранее опции (на скриншоте выделено зелёным), но при этом не работает возможность использования копии заголовка. Следствием этого является то, что было видно на скриншотах - мусор в начальном секторе примонтированного тома, который получен при дешифрации 00-ей в начальном секторе раздела.
Как то так.

[9285]

Цитата (igarilla) »

прочитал инструкцию по восстановлению которую распечатал когда шифровал)))

Было бы интересно узнать у автора темы версию используемой программы, так как в актуальной на данный момент версии, при попытке примонтировать том без дополнительной опции, выводится очень даже информативное предупреждение.

[Zagadnik]

9285
Глубоко копаете, товарисчь!

ДОБАВЛЕНО: Флудить в профильной теме не хочется. Просто удивлён, что такой интерес к разбору решения такой проблемы. Ведь по сути, это ССЗБ...

[9285]

Zagadnik
По другому не привык. Это плохо?

[9285]

В процессе разборов полёта было выяснено что есть минимум два "типа" шифрования.
В одном из них имеется заголовок тома (файла-контейнера) и повреждение его приводит к невозможности монтирования. Требуется восстановление заголовка.
В другом случае (как у автора темы) у тома нет заголовка, и сектора просто шифруются. То есть, если повреждён нулевой сектор раздела, то веракрипт монтирует том, но в нём повреждён 0-вой сектор. В случае тома NTFS это лечится банально восстановлением бутсектора из копии.
А заголовок, критичный для монтирования хранится в LBA62. Восстанавливается с диска восстановления, создаваемого в веракрипте - причём именно в той системе, которая работает (чужой не поможет). Не нашёл возможности забэкапить его как в случае с первым "типом" шифрования, поэтому можно забэкапить вручную.
помешает и забэкапить его вручную -Так что, надо или бэкапить его или

Zagadnik
Не видел написанного тобой позже моего ответа. И не понял твоего удивления. Почему ты считаешь проблема не стоит "такого" внимания?

[romvad]

А у меня такая история.
Внешний SSD Samsung Portable SSD T5 (1Тб) почти новый. Несколько месяцев использовался для хранения данных только под Win10 с родным ПО Samsung для шифрования (прога с названием Samsung Portable SSD Software).
Потребовалось использовать его под Ubuntu 20.04. А Samsung свою прогу для линукс почему-то не написал, поэтому решил от нее отказаться и зашифровать VeraCrypt.
Выполнил следующие действия:
1. Диск расшифровал под Win10 родной прогой Samsung, отключил запрос пароля.
2. Скопировал все данные на новый внешний HDD, который предварительно зашифровал VeraCrypt (без скрытого тома, только для краткосрочной резервной копии).
3. SSD отформатировал стандартной утилитой Win10 (полное).
4. Зашифровал SSD VeraCrypt («Зашифровать несистемный раздел / диск», создал внешний и скрытый тома), алгоритм и всё остальное по умолчанию, без PIM и ключевых файлов, файловая система exFAT. К сожалению, бэкап заголовка не сделал (хотя не факт, что помогло бы). Проверил несколько раз – все монтируется и размонтируется без проблем.
5. Скопировал данные с внешнего HDD в скрытый том на зашифрованном SSD. Проверил еще несколько раз - монтируется и размонтируется, данные скопировались полностью, читаются. В том числе после отключения SSD и подключения его заново. Внешний зашифрованный том с записанными в него до создания скрытого тома файлами тоже ОК. После создания скрытого тома ничего во внешний не писал.
6. Поскольку основной бэкап данных предполагалось делать на другой носитель, а копия на HDD была сделана только для переноса данных, этот HDD был отформатирован и затерт с помощью Виктории. Т.е., резервной копии больше не стало.
Что произошло дальше:
Комп выключил (совсем). SSD был отсоединен еще до выключения. Через несколько часов запускаю комп, гружу сразу Ubuntu, втыкаю SSD и пытаюсь смонтировать скрытый том. Получаю печально известное сообщение: «Операция не выполнена. Возможные причины: - неверный пароль; - неверное число PIM; - неверный PRF (хеш); - это не том VeraCrypt. Source: MountVolume:8299».
С внешним зашифрованным томом абсолютно то же самое.
Под Win10 все аналогично.
Проводник Win10 диск не видит, а до выключения видел как неотформатированный. В Управлении дисками видит как неинициализированный и предлагает инициализировать (естественно, я отказался). Под Ubuntu видит в приложении «Диски», но при подключении не распознает как внешний носитель, с которым можно работать (иконка диска не появляется). Виктория под Win10 видит, паспорт получает, DMDE видит. VeraCrypt видит его в списке устройств как Жесткий диск 2, но без разделов, однако при попытке смонтировать том после выбора устройства пишет в главном окне \Device\Harddisk2\Partition0.
Никаких признаков неисправности самого SSD нет. Пароли VeraCrypt однозначно правильные (естественно, разные для внешнего и скрытого томов). TRIM, по идее, не должен был напакостить, т.к. после форматирования диска он уже должен был считаться «пустым», а после шифрования данные писались уже в зашифрованный том и с точки зрения ОС никакие файлы на сам диск больше не писались и не удалялись. Да они и с зашифрованного не удалялись, я только успел записать туда весь массив данных.
Задача – как-то добраться до данных и понять, чего в дальнейшем не надо делать, чтобы не попасть снова в такую ситуацию. Заранее спасибо за любые соображения и советы.

[garniv]

Попробуй https://sourceforge.net/projects/testcrypt/

[9285]

Т.к. этой темой интересовался в момент проблемы, всё уже подзабылось.
Могу только посоветовать почитать внимательно всю тему и разобраться с типами аутентификации. Ну и ещё почитать инфу на сайте разработчика (мало ли что в новых версиях изменилось) и ещё есть большая тема на руборде.
Ну и раз упоминалась 10-ка, то вспомнилось о каких то проблемах с ней из за Быстрого запуска.

[romvad]

Цитата (garniv) »

Попробуй https://sourceforge.net/projects/testcrypt/

Спасибо, попробовал. Но и он ничего не нашел.

Добавлено через 4 минуты

Цитата (9285) »

Т.к. этой темой интересовался в момент проблемы, всё уже подзабылось.
Могу только посоветовать почитать внимательно всю тему и разобраться с типами аутентификации. Ну и ещё почитать инфу на сайте разработчика (мало ли что в новых версиях изменилось) и ещё есть большая тема на руборде.
Ну и раз упоминалась 10-ка, то вспомнилось о каких то проблемах с ней из за Быстрого запуска.

Тему прочитал, на других форумах тоже смотрю. Быстрый запуск у меня на винде отключен. Пока вижу возможным один вариант из предложенных в этой теме: попробовать подсунуть ему левый заголовок, и если смонтируется, далее пытаться с DMDE. Я правильно понимаю, что можно взять хидер от другого тома и попробовать скормить его вере под видом бэкапа родного хидера?

[Allex.k]

Цитата (romvad) »

Задача – как-то добраться до данных и понять, чего в дальнейшем не надо делать, чтобы не попасть снова в такую ситуацию.

Чего не делать - как бы очевидно: не уничтожать единственный бекап.

[romvad]

Цитата (Allex.k) »

Чего не делать - как бы очевидно: не уничтожать единственный бекап.

Не поспоришь. Только я даже не успел сделать нормальный бэкап. Убедился в том, что все работает, грохнул временную копию и уехал на несколько часов по делам. Вернулся - не монтируется.

[Allex.k]

Цитата (romvad) »

Убедился в том, что все работает, грохнул временную копию

Вот именно этого делать и не стоило. Временная она или какая - она _копия_. И если нету еще одной копии в штатном бекапе - она единственная копия. А грохать единственную копию данных, которые в случае чего понадобится откуда-то выцарапывать (и не факт, что успешно) - это категорически неверно.

Ergo: все данные, которые в случае утери доступа к ним будет хотеться "восстановить", значительно дешевле (как по деньгам, так и по времени) хранить в нескольких экземплярах и, если уж "временная копия" в процессе получилась - ее не нужно трогать, как минимум до тех пор, пока не будет сделан "нориальный бекап".

[9285]

Увы, но сейчас нет возможности изучать тему и вспоминать все перепетии, которые были и возможно что не были ранее написаны. Уточни, в каком сообщении я об этом писал.
И если бы не "прокол" с бэкапом, то не написал бы банальную вещь - эксперименты проводить лишь при наличии посекторки диска.

Добавлено через 16 минут

Если ты подразумевал

Цитата (9285) »

По большому счёту, программе достаточно подсунуть только заголовок и она его примонтирует

, то смысл был о другом.

[romvad]

В общем, главную часть задачи - спасти данные - решить удалось. А вот понять причину - нет. Любой полностью зашифрованный несистемный диск остается доступным для монтирования на нем томов Веры только до тех пор, пока он не отключен от компа. После отключения диска и повторного подключения каждый раз одни и те же последствия: диск неинициализирован, Вера не нем ничего не может смонтировать.

[Genshiro]

Цитата (romvad) »

В общем, главную часть задачи - спасти данные - решить удалось. А вот понять причину - нет. Любой полностью зашифрованный несистемный диск остается доступным для монтирования на нем томов Веры только до тех пор, пока он не отключен от компа. После отключения диска и повторного подключения каждый раз одни и те же последствия: диск неинициализирован, Вера не нем ничего не может смонтировать.

КАК восстановили данные то??

[AndrusD]

Цитата (romvad) »

А у меня такая история.
Внешний SSD Samsung Portable SSD T5 (1Тб) почти новый. Несколько месяцев использовался для хранения данных только под Win10 с родным ПО Samsung для шифрования (прога с названием Samsung Portable SSD Software).
Потребовалось использовать его под Ubuntu 20.04. А Samsung свою прогу для линукс почему-то не написал, поэтому решил от нее отказаться и зашифровать VeraCrypt.
Выполнил следующие действия:
1. Диск расшифровал под Win10 родной прогой Samsung, отключил запрос пароля.
2. Скопировал все данные на новый внешний HDD, который предварительно зашифровал VeraCrypt (без скрытого тома, только для краткосрочной резервной копии).
3. SSD отформатировал стандартной утилитой Win10 (полное).
4. Зашифровал SSD VeraCrypt («Зашифровать несистемный раздел / диск», создал внешний и скрытый тома), алгоритм и всё остальное по умолчанию, без PIM и ключевых файлов, файловая система exFAT. К сожалению, бэкап заголовка не сделал (хотя не факт, что помогло бы). Проверил несколько раз – все монтируется и размонтируется без проблем.
5. Скопировал данные с внешнего HDD в скрытый том на зашифрованном SSD. Проверил еще несколько раз - монтируется и размонтируется, данные скопировались полностью, читаются. В том числе после отключения SSD и подключения его заново. Внешний зашифрованный том с записанными в него до создания скрытого тома файлами тоже ОК. После создания скрытого тома ничего во внешний не писал.
6. Поскольку основной бэкап данных предполагалось делать на другой носитель, а копия на HDD была сделана только для переноса данных, этот HDD был отформатирован и затерт с помощью Виктории. Т.е., резервной копии больше не стало.
Что произошло дальше:
Комп выключил (совсем). SSD был отсоединен еще до выключения. Через несколько часов запускаю комп, гружу сразу Ubuntu, втыкаю SSD и пытаюсь смонтировать скрытый том. Получаю печально известное сообщение: «Операция не выполнена. Возможные причины: - неверный пароль; - неверное число PIM; - неверный PRF (хеш); - это не том VeraCrypt. Source: MountVolume:8299».
С внешним зашифрованным томом абсолютно то же самое.
Под Win10 все аналогично.
Проводник Win10 диск не видит, а до выключения видел как неотформатированный. В Управлении дисками видит как неинициализированный и предлагает инициализировать (естественно, я отказался). Под Ubuntu видит в приложении «Диски», но при подключении не распознает как внешний носитель, с которым можно работать (иконка диска не появляется). Виктория под Win10 видит, паспорт получает, DMDE видит. VeraCrypt видит его в списке устройств как Жесткий диск 2, но без разделов, однако при попытке смонтировать том после выбора устройства пишет в главном окне \Device\Harddisk2\Partition0.
Никаких признаков неисправности самого SSD нет. Пароли VeraCrypt однозначно правильные (естественно, разные для внешнего и скрытого томов). TRIM, по идее, не должен был напакостить, т.к. после форматирования диска он уже должен был считаться «пустым», а после шифрования данные писались уже в зашифрованный том и с точки зрения ОС никакие файлы на сам диск больше не писались и не удалялись. Да они и с зашифрованного не удалялись, я только успел записать туда весь массив данных.
Задача – как-то добраться до данных и понять, чего в дальнейшем не надо делать, чтобы не попасть снова в такую ситуацию. Заранее спасибо за любые соображения и советы.

Добрый день!

Возникла похожая проблема. USB Накопитель был полностью зашифрован с помощью VeraCrypt. Флешка работала на протяжении 3х лет. На днях перестала монтироваться и выдавать ошибку: Некорректный пароль, PIM, хеш или раздел. MountVolume:9170. Так VeraCrypt видит флешку как Съёмный носитель и без разделов. При сканировании DMDE не находит разделов. Копии заголовка нет. При попытке восстановить заголовок, не находит копию. Подскажите, в какую сторону смотреть ? И есть ли шансы ?

[Hault]

Цитата (AndrusD) »

Подскажите, в какую сторону смотреть ? И есть ли шансы ?

Получилось ли что-нибудь сделать?

[AndrusD]

Цитата (Hault) »

Получилось ли что-нибудь сделать?

К сожалению нет. Сделал образ флешки, вдруг найдется решение проблемы.

[Allex.k]

Цитата (AndrusD) »

вдруг найдется решение проблемы

Я думаю, что "если найдется решение проблемы" - VeraCrypt обанкротится, а кто-нибудь из его разработчиков - сядет. И надолго.

Бо такое шифрование как раз и делается для того, чтобы не оставить никакой возможности добраться до данных, кроме как штатным способом.

[Игорь777]

Цитата (Allex.k) »

Я думаю, что "если найдется решение проблемы" - VeraCrypt обанкротится, а кто-нибудь из его разработчиков - сядет. И надолго.

Бо такое шифрование как раз и делается для того, чтобы не оставить никакой возможности добраться до данных, кроме как штатным способом.

подскажите. на другом компе можно расшировать флешку, если там будет стоять эта же программа?