Поиск копии заголовка тома, зашифрованного с помощью программы DiskCryptor
Проблема: Принесли на восстановление жесткий диск, зашифрованный с помощью программы DiskCryptor. Перестал монтироваться вследствие стирания области в начале диска.
Задача: По аналогии с программой TrueCrypt определить, хранит ли DiskCryptor копию заголовка (Header)зашифрованного тома, с помощью которой можно было бы заменить поврежденный заголовок для успешного монтирования тома.
Решение: найти области данных, которые DiskCryptor резервирует и не меняет при работе с шифрованным томом.
Известно, что заголовок DiskCryptor находится в начале шифрованного тома и имеет размер 2048 байт. Начало тома (Boot Record и т.д.) сохраняется в логический раздел в виде файла $dcsys$.
Выполненные действия:
- на тестовом жестком диске протерли специальным кодом выбранный участок (далее А)
- на выбранном участке создали основной раздел и отформатировали в файловую систему NTFS
- зашифровали созданный логический том с помощью DiskCryptor. Параметры шифрования оставили по умолчанию: алгоритм AES, wipe mode - NONE, задали пароль
- после шифрования участок А сохранили в файл file1.dat
- с помощью Hex-редактора в смонтированном томе заполнили неадресуемую область (Freespace) другим специальным кодом
- участок А сохранили в новый файл file2.dat
- побайтно сравнили файлы file1.dat и file2.dat. В результате исключения данных, которые относятся к служебным файлам NTFS ($MFT , $LogFile, $AttrDef, $Bitmap, и т.д.) и файлу $dcsys$ совпадающих секторов не оказалось
Наш вывод: В отличие от TrueCrypt в логике программы DiskCryptor не предусмотрено хранение копии заголовка шифрованного тома.