几年前,我在家里安装了一台运行 Debian Linux 的计算机。在其中一个硬盘上,我有一个真正的加密卷。这是全卷加密,而不是文件加密。
电脑已经不见了,驱动器在柜子里放了几年,但现在我想访问它。
我正在通过 USB 连接到 Mac(并且还尝试过 Windows PC)。
在这两种情况下,我都可以在驱动器的前半部分看到 Linux 部分(在 Mac 中是/dev/rdisk2s1),但我确信真正的加密内容位于驱动器的末尾。Mac 和 Windows 只是将其标记为空白空间(因此没有创建任何赞助人)。
那里可能存在真正的加密卷吗?我试过了/dev/rdisk2s1,但被告知不存在。我害怕在那个空间中创建一个部分,因为我可能会覆盖标题。
有什么方法可以访问它吗?我应该告诉 Truecrypt地址音量是多少?
答案1
您可以尝试使用测试加密它可能能够找到该卷。它只能在 Windows 上运行,但应该能够在 ext2/3 分区上找到已删除的卷。
这CG安全网站概述了一种替代方案:
使用整体解密进行恢复
另一种方法是永久解密损坏的系统分区/驱动器。您可以使用TrueCrypt 救援磁盘并下次使用测试磁盘。运行TestDisk,选择损坏卷对应的驱动器号或分区,高级。TestDisk可以修复FAT/NTFS引导扇区,ext2/ext3超级块。
该网站还提供了在 Linux 下运行恢复的替代方案。