Меню
Восстановление данных24 часа в сутки 7 дней в неделю
+38 044 362-05-12
501-60-67
Обратный звонок
сделать заявку

Восстановление TrueCrypt контейнера

Принесли на восстановление Flash накопитель с проблемой, не открывается шифрованный контейнер. Действительно, проверка показала, что контейнер не принимает пароль. Первая мысль, конечно, что Заказчик забыл пароль. Однако стали исследовать проблему и искать решение.

Сперва проверили файловую систему NTFS. Анализ показал исправность файловой системы. Далее проверили карту файла. По списку кластеров оказалось, что файл лежит целиком, одним фрагментом. Более детальный анализ файла выявил фрагменты нетипичные для криптованного контейнера, а именно наличие больших нулевых участков. Дело в том, что шифрованный файл чем-то похож на архив, он не должен содержать в себе “однородные” участки, сочетание соседних байт должно иметь высокую степень уникальности.

Исходя из полученной информации допустили, что карта файла не является корректной. Специфика TrueCrypt контейнера заключается в том, что контейнер не имеет типизированного начала и конца. Нет привычного заголовка (сигнатуры). Не описан размер файла, его структура. Поэтому задача поиска файла нетривиальна. Ее, к сожалению, не решить автоматическим путем, с помощью програмного обеспечения. Решение о местонахождении файла может принять только человек, основываясь на косвенных предположениях.

В нашем случае, поиск начала файла не дал положительного результата. Решили искать концовку просматривая содержание Flash накопителя. Нашли код характерный для шифрования. Известно, что пароль в TrueCrypt контейнере хранится в первых 512 байтах файла, а копия этого участка лежит в концовке файла. Сразу поясню, копия так же хранится в шифрованном виде, и простое сравнение участков не даст результата. Важно смещение от конца файла.

Предположив, что мы нашли правильный конец файла, сохранили участок с ключем. Далее, взяв размер файла из файловой системы (условное допущение) отступили от конца на заданный интервал. В это место поставили участок с паролем. Файл смонтировался, однако том оказался поврежденным. Анализ тома показал, что MFT зона лежит на месте, большая часть файлов оказалось исправной, однако файлы находящиеся вначале тома не имели правильного заголовка.

Это уже конечно результат, однако еще есть с чем работать. Логичное предположение, что мы не попали в правильное начало файла. Это может быть только в том случае, когда файл не лежит целиком. Значит, файл фрагментирован. Анализируя нетипичные участки для шифрованного файла выделили их размер. Отступили от начала неправильного участка на нужный интервал, опять смонтировали файл. Том смонтировался. Значит, начало файла найдено. Зная начало и конец файла, выкинули лишние данные и получили исправный контейнер. Данные восстановлены. Однако конечно остался вопрос, как такая ситуация стала вообще возможной? Опрос Заказчика не внес ясности и не привел к ответу. Может кто-то из прочитавших подкинет идею.

Ну и напоследок отметим два момента. Если не открывается шифрованный контейнер, не спешите предполагать повреждение контейнера, хотя бывает много разного. Проверяйте все возможные варианты. Для пользователей TrueCrypt рекомендуем делать копию заголовка, тем более, что TrueCrypt позволяет это.