我用了照相记录—— 在合理的成功程度上 —— 从损坏的主分区中恢复文件,其中用户的主分区使用 Ubuntu 上的 ecryptfs 加密。
恢复的文件现在被命名为类似于f5345000.eCryptfs
。我假设并非所有原始文件都已恢复。此外,目录结构不再存在。
eCryptfs 启用了文件名加密,这是 Ubuntu 的默认设置。
假设我有 eCryptFS 密码。是否可以解密这些文件?如何解密?
答案1
eCryptfs 通常需要一个wrapped-passphrase
存储实际加密密钥的文件(“挂载密码”),或者您需要挂载密码本身。
如果您有其中之一,您可以尝试ecryptfs-recover-private
“查找并安装任何加密的私人目录”。由于文件名已加密,我认为它们无法恢复,它们的名称已在文件名中加密,并且photorec
通常无法恢复文件名(这使得查找wrapped-passphrase
文件也很困难) - 我猜testdisk
没有任何运气?
ecryptfs-recover-private
需要特定目录中的文件:
- 加密文件
.Private
wrapped-passphrase
in$d/../.ecryptfs/wrapped-passphrase
(其中 $d 是.Private
,或命名的目录)
除非你告诉它要解密哪个目录(不必具体命名.Private
)。我的另一个答案在这里有更多关于 eCryptfs 的信息,包括总体布局。
ecryptfs-recover-private
只是一个 shell 脚本,所以如果你遇到困难,你可以尝试手动逐步执行。在终端中快速查看它,只需使用
less `which ecryptfs-recover-private`
我认为 eCryptfs 不需要每个原始文件才能成功解密(否则删除单个文件就会成为问题),但一些恢复的文件可能会被截断或也有一些坏数据,所以绝对不能保证它能起作用。
如果有多个用户的加密文件,他们也会有不同的挂载密码,但photorec
可能会恢复一个大组中的所有文件。这意味着尝试用每个不同的挂载密码一次解密所有文件,看看是否有任何效果。备份绝对是首选!