有没有办法恢复被覆盖的 LUKS 分区?考虑以下情况:
我有一个(外部)硬盘驱动器(不是 SSD),它完全经过 LUKS 加密,包含一个带有一些(重要)数据(在我的情况下是图像和视频)的 ext4 文件系统。密码是已知的。我没有 LUKS 标头备份。
现在,我不小心在该驱动器上创建了一个新的 LUKS 分区(覆盖了旧分区),并在其中创建了一个新的 ext4 文件系统。然后我复制了一些新数据(在我的例子中是笔记本电脑上的一些备份数据;160 GB(外部驱动器的大小为 1TB))。
有没有办法恢复旧的 LUKS 分区以及所有数据或至少图像和视频(可能没有文件名)。
编辑:附加问题
有没有办法按位恢复最后的操作(即数据传输到新分区、创建 ext4 文件系统以及创建 LUKS 卷)?
如果分析磁盘表面的磁性结构,也许这种逆转在物理层面上是可能的?法医专业人士可以这样做吗?
在这种情况下,法医专业人员还会尝试其他有希望的方法吗?
正如已经说过的,我没有备份旧卷的 LUKS 标头。然而,正如霜舒茨所指出的,如果我在事故发生前打开了旧卷并且没有重新启动,则可能会在内存中找到标头(但在我的情况下我确实重新启动了)。还有其他地方可以搜索标题吗?我通常使用 pmount 工具安装旧卷。
答案1
恐怕没有标头备份就没有机会。
仅当 LUKS 标头可用且密钥槽中包含该密码时,该密码才有用。如果没有它,几乎没有办法恢复音量键。
LUKS 设计的一部分是,如果 LUKS 标头被删除(以及任何备份),那么在取证上就无法访问容器。
答案2
如果您损坏了 LUKS 标头,并且 LUKS 容器尚未打开(由于意外而未重新启动,并且dmsetup table --showkeys仍然具有原始容器,而不是您创建的新容器),则无法恢复任何加密数据。它消失了。
剩下的就是恢复旧的未加密数据(如果加密时未擦除驱动器)。
除了从第三方来源恢复数据 - 根据这些图像和视频的原始来源,您也许可以从相机 SD 卡或其他东西恢复一些数据。同样,如果您为任何人复制过它们,或者在将它们放入外部驱动器之前将它们存储在内部,您可能会在那里找到一些东西。
但不要抱太大希望,SSD 恢复的机会也很小(由于 TRIM 清理了可用空间)。
本质上,这是一种从备份恢复或不恢复的情况。