我不记得我是否在某个分区中创建了(非隐藏的)TrueCrypt 卷并在那里复制了一些文件。我试过我常用的密码,但没有用。所以,在重新格式化这样的分区之前,我想知道是否有一种方法可以检测出 TC 卷在这样的分区中的存在。
我已经知道了猎杀但它只适用于文件和文件夹,不适用于分区。
答案1
您可以将原始分区数据复制到一个文件中,然后在该文件上运行 TCHunt。在 Linux 上,您可以以 root 用户身份使用以下命令将分区复制到一个文件(假设您要复制的分区未安装):
dd if=/dev/sda3 of=/tmp/myfile bs=512
这里,/dev/sda3是被复制的分区,而/tmp/myfile是将包含副本的文件。
Windows 也可以这样做,但我不知道怎么做。我只需将 Windows 系统引导到 Linux Live CD 中,安装一个分区来保存副本,然后使用上述dd命令读取(可能)加密的分区。