(有一个类似的非常古老的问题这里但我不确定我是否应该/是否可以突破这一点,而且我的情况略有不同)
我的任务是恢复用户误删的一些信息。使用 photorec,我能够恢复大量格式为 fnnnnnnn.eCryptfs 的文件,其中 n 是数字。其中一个文件很可能包含所需的信息。现在我得到了整个系统,它仍然完好无损,还有登录和解密文件系统的密码。这不是分区被删除或其他什么情况——只是他删除了一些不该删除的文件。
我承认,在阅读了其他答案(包括上面链接的答案)大约一个小时后,我不明白这一点。或者至少没有进行太多深入研究。一切似乎都假设您正在尝试解密整个(/home/user)目录结构,而我正在尝试解密一个我既不知道其原始名称也不知道其位置的文件。实际上,我确实知道目标文件的名称和位置,但不知道是众多文件中的哪一个。
我使用了 ecryptfs-unwrap-passphrase 并获得了我认为是实际加密密钥本身的东西。我认为我很幸运,理论上拥有恢复信息所需的一切,假设它是 photorec 恢复的众多信息之一。但我到底应该遵循哪些步骤来做到这一点,这让我很纠结。如果我能弄清楚如何真正解密一个文件,我可能可以通过 bash 脚本来测试每个文件,但我发现的所有内容都是关于“.private”目录和“.secret”以及在其他地方安装整个分区。而我只想在已经解密并安装的仍然存在的主分区上解密一堆恢复的文件。
我希望这对于比我更了解 ecryptfs 的人来说很简单。:)
哦,值得一提的是,该发行版是 Mint Debian 版。