我有一个 1TB 的硬盘,我创建了一个 40GB 的 TrueCrypt(非隐藏)卷(我没有备份标题,但我仍然有密码)。硬盘丢失了分区,我尝试了多个恢复程序,但都找不到该卷。该驱动器目前未格式化,我拍摄了它的映像,但我想知道如何找到该卷。
答案1
好吧,如果您的分区丢失了,那么也许您的 40GB 的 TrueCrypt 数据块也在同一事件中受到了损害......
手工制作的解决方案:
你可以写一个脚本:mount你的镜像抵消,就好像它是一个分区,然后使用所有适当的参数和你的密码调用 TrueCrypt,然后如果 TrueCrypt 返回 0,则停止并且你很开心,否则再试一次下一个抵消,直到尝试完所有图像。
实验:
如果上述方法不起作用,您应该进行以下测试。使用新硬盘重现相同问题(创建加密分区然后删除 MBR),然后尝试相同的方法。如果它有效,那么您的数据块可能已被泄露,如果它无效,那么我的方法或您的实现都有缺陷。
答案2
一种方法是在相同的驱动器上创建相同的分区(或者如果您已对其进行映像,则在同一驱动器上创建),然后备份 MBR,根据您拥有的映像重新映像驱动器,最后放回 MBR。如果分区确实相同,并且 TC 分区的标头/备份标头未被覆盖,则您应该能够在该过程之后挂载加密分区。
如果做不到这一点,我就会开始寻求适应http://16s.us/TCHunt定位可能构成 TC 分区的原始磁盘数据。
答案3
不幸的是,TrueCrypt 分区看起来像是随机数据,无法判断它是否真的是 TrueCrypt 分区。您无法恢复该 TrueCrypt 卷,因为 TrueCrypt 的功能之一是使分区无法识别。因此,对于硬盘的任何部分,都无法判断它是否是 TrueCrypt 分区的一部分。