Меню
Восстановление данных24 часа в сутки 7 дней в неделю
+38 044 362-05-12
501-60-67
Обратный звонок
сделать заявку

Поиск копии заголовка тома, зашифрованного с помощью программы DiskCryptor

Проблема: Принесли на восстановление жесткий диск, зашифрованный с помощью программы DiskCryptor. Перестал монтироваться вследствие стирания области в начале диска.

Задача: По аналогии с программой TrueCrypt определить, хранит ли DiskCryptor копию заголовка (Header)зашифрованного тома, с помощью которой можно было бы заменить поврежденный заголовок для успешного монтирования тома.

Решение: найти области данных, которые DiskCryptor резервирует и не меняет при работе с шифрованным томом.

Известно, что заголовок DiskCryptor находится в начале шифрованного тома и имеет размер 2048 байт. Начало тома (Boot Record и т.д.) сохраняется в логический раздел в виде файла $dcsys$.

Выполненные действия:

  • на тестовом жестком диске протерли специальным кодом выбранный участок (далее А)
  • на выбранном участке создали основной раздел и отформатировали в файловую систему NTFS
  • зашифровали созданный логический том с помощью DiskCryptor. Параметры шифрования оставили по умолчанию: алгоритм AES, wipe mode - NONE, задали пароль
  • после шифрования участок А сохранили в файл file1.dat
  • с помощью Hex-редактора в смонтированном томе  заполнили неадресуемую область (Freespace) другим специальным кодом
  • участок А сохранили в новый файл file2.dat
  • побайтно сравнили файлы file1.dat и file2.dat. В результате исключения данных, которые относятся к служебным файлам NTFS ($MFT , $LogFile, $AttrDef, $Bitmap, и т.д.) и файлу $dcsys$ совпадающих секторов не оказалось

Наш вывод: В отличие от TrueCrypt в логике программы DiskCryptor не предусмотрено хранение копии заголовка шифрованного тома.