Pull to refresh

Восстановление удалённого раздела TrueCrypt

Reading time 2 min
Views 38K
В связи с прекращением проекта тема менее актуальна, но всё же



В своё время, устанавливая Windows, я решил не трогать системный раздел, но зашифровать раздел с данными.
В результате HDD выглядел так:



Последний раздел на 831,51гб – это том, зашифрованный с помощью TrueCrypt.
В связи с досадной ошибкой, я удалил все разделы со своего HDD.
Есть множество программ, восстанавливающих удалённые разделы, (мне помог Paragon HDM), но так как том TrueCrypt невозможно отличить от набора случайных данных, ни одна программа обнаружить его не смогла.

Ниже вы узнаете, как можно восстановить удалённый том TrueCrypt (обладая паролем/ключевым файлом)

Сперва надо найти начало раздела TrueCrypt.
Я знал, что мой зашифрованный раздел располагался сразу после первых двух, туда и отправился:
WinHex, Tools -> Open Disk. Открываем свой HDD. Открыв, выбираем последний существующий раздел.



Раздел 2 начинается в секторе 206 848 и занимает 209 510 400 секторов.
Следовательно, следующий раздел должен начинаться в секторе 209 717 248.
Переходим туда: Navigation -> Go to Sector
В начале зашифрованного раздела хранятся заголовки TrueCrypt-партиции.
Для проверки сохраним в файл первые 200кб (это можно сделать даже в демо-версии WinHex):
Edit -> Define block
В Beginning Указываем offset, с которого начинается наша предполагаемая партиция.
В End указываем его же + 204800 (у меня WinHex корректно работал только если OffSet в режиме Hex, переключить режим можно кликая по столбцу Offset).
В моём случае, это были 1900100000(h) и 1900132000(h)
Выделенный блок надо сохранить в файл:
Edit -> Copy Block -> Into New File -> header.tc
Получившийся файл монтируем на свободную букву при помощи TrueCrypt:



Если файл удалось смонтировать – значит заголовок, действительно, располагался здесь.
Откроем свойства тома и запишем его размер: 892 826 550 272 байт



Так же, для проверки, можно открыть смонтированный раздел с помощью WinHex.
Он, конечно, ругнётся – но мы сможем увидеть начало нашей расшифрованной партиции:
Tools -> Open Disk -> выбираем букву, куда мы смонтировали файл (у меня Z: )



Ок, пока всё получается.
Размонтируйте диск Z:, приступаем к ремонту.

ПРЕДУПРЕЖДАЮ:
На этом этапе лучше сделать посекторную копию HDD на случай, если что-то пойдёт не так!


Размер TC-партиции, как мы выяснили ранее, был 892 826 550 272 байт (у вас будет другой). К этому числу надо прибавить стандартный размер TrueCrypt-заголовка: 262144 байт.
Итого, размер создаваемой партиции должен быть 892826812416 байт
Дважды делим на 1024 – получаем размер в мегабайтах. Теперь можно создать раздел обычным диспетчером дисков Windows (он позволяет указать размер только в мегабайтах).

При создании раздела НЕ назначайте ему букву и НЕ ФОРМАТИРУЙТЕ его:



Во время создания раздела его начало было затёрто – но у нас есть копия.
Запустите WinHex с правами администратора и переведите его в режим редактирования:
Option -> Edit Mode -> Default Edit Mode
Откройте начало созданного раздела – там должны быть нули:



Теперь открывайте сохранённую копию заголовка раздела, выделяйте и копируйте оттуда недостающие блоки:
Edit -> Copy Block -> Normally



Возвращайтесь к нашему разделу, кликните по его первому блоку и вставляйте данные:
Edit -> Clipboard Data -> Write
File -> Save Sectors
Готово, теперь раздел должен монтироваться с помощью TrueCrypt

PS Один раз у меня монтировались извлечённые в файл заголовки, но не монтировался раздел.
Помогло создание раздела чуть меньшего размера.
Tags:
Hubs:
+25
Comments 14
Comments Comments 14

Articles