恢复被覆盖的加密luks设备

时间:2017-10-25 08:51:17

标签: encryption data-recovery

昨天我很累,我有一个朋友 我有点讨厌。我不得不放一个 usb驱动器上的Linux ISO。

我暂时将所有数据存储在一个上 设备,这是一个5 TB的驱动器。这个设备是/ 使用加密加密:

cryptsetup -luksFormat ... 

我将此设备安装到/a并执行了一个dd Linux ISO在5 TB驱动器上。第二次我打了 输入我意识到这一点,然后我做了一个控制C. 并从我的驱动器中删除了插头。

在此之后我完全精神崩溃了 我开始过度通气了。

无论如何,我已经读过即使数据被覆盖了 直到有机会阅读下面的数据 被覆盖的部分。

我认为这比简单复杂得多 运行testdisk(也许testdisk可以做到这一点,没有线索)。

昨天的整个过程如下:

:/a/1master-targz/iso# ls
debian-8.1.0-amd64-xfce-CD-1.iso  FreeBSD-11.0-RELEASE-amd64-disc1.iso                         
linuxmint-18.1-cinnamon-32bit.iso  nonpaelubuntu.iso
:/a/1master-targz/iso# lsblk
NAME        MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
sda           8:0    0  4.6T  0 disk  
└─sda       254:0    0  4.6T  0 crypt /a
sdb           8:16   1 28.7G  0 disk  
├─sdb1        8:17   1  648M  0 part  
└─sdb2        8:18   1  416K  0 part  
:/a/1master-targz/iso# dd if=linuxmint-18.1-
linuxmint-18.1-cinnamon-32bit.iso  linuxmint-18.1-mate-32bit.iso      
linuxmint-18.1-mate-64bit.iso      
:/a/1master-targz/iso# dd if=linuxmint-18.1-cinnamon-32bit.iso 5~^C
:/a/1master-targz/iso# lsblk
NAME        MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
sda           8:0    0  4.6T  0 disk  
└─sda       254:0    0  4.6T  0 crypt /a
sdb           8:16   1 28.7G  0 disk  
├─sdb1        8:17   1  648M  0 part  
└─sdb2        8:18   1  416K  0 part  
:/a/1master-targz/iso# dd if=linuxmint-18.1-cinnamon-32bit.iso  of=/dev/sda bs=512k 
10+1 records in
10+1 records out
5685920 bytes (5.7 MB, 5.4 MiB) copied, 0.81171 s, 7.0 MB/s
:/a/1master-targz/iso# 
:/a/1master-targz/iso# ^C
:/a/1master-targz/iso# lsblk
NAME        MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
sdb           8:16   1 28.7G  0 disk 
├─sdb1        8:17   1  648M  0 part 
└─sdb2        8:18   1  416K  0 part 
sdc           8:32   0  4.6T  0 disk 
└─sdc1        8:33   0  1.6G  0 part 
mmcblk0     179:0    0 29.8G  0 disk 
├─mmcblk0p1 179:1    0 41.8M  0 part /boot
└─mmcblk0p2 179:2    0 29.8G  0 part /
:/a/1master-targz/iso# 

#somewhere here I got a panic attack

TestDisk 7.0, Data Recovery Utility, April 2015
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org

Disk /dev/sdc - 5000 GB / 4657 GiB - CHS 4769307 64 32
     Partition               Start        End    Size in sectors
>P ext4                     0  63 31 4769306  63 30 9767538688 [Ghost] # doubt this is right

fdisk -l /dev/sdb
Disk /dev/sdb: 4.6 TiB, 5000981077504 bytes, 9767541167 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disklabel type: dos
Disk identifier: 0x69e72c6a

Device     Boot Start     End Sectors  Size Id Type
/dev/sdb1  *        0 3289087 3289088  1.6G 17 Hidden HPFS/NTFS

# head /dev/mapper/sda
head: error reading '/dev/mapper/sda': Input/output error

概要 我有什么: 1:覆盖加密的luks设备的一部分。 2:我仍然拥有cryptsetup打开设备时的映射器(我没有 从那时起触摸了我的电脑)

我的希望: - 可能有办法欺骗我的操作系统,将我的加密驱动器视为/ dev / sda 并将/ dev / mapper / sda连接到此设备,然后重新安装设备,忽略被销毁的驱动器部分? (我真的不知道......)

- 我知道我用来覆盖数据的图像,这可能有助于读取它所破坏的数据。

- 其他任何想法都非常有用

1 个答案:

答案 0 :(得分:0)

  1. 清理问题并删除故事。
  2. “我已经读过,即使数据被覆盖,也有可能读取覆盖部分下面的数据。”

    1. 您将无法使用计算机和驱动器原样恢复过度写入的数据。为了尝试恢复被覆盖的数据,必须能够看到驱动器读头实际电压,以便可以将过写值的剩余部分视为电压的微小差异。这意味着打开高清并使用专用设备。 IOW:没有。

    2. 你已经学会了进行持续备份的艰难方法,似乎“艰难的方式”是唯一可行的方法,并且经常需要多个课程,这一点很重要。