[Solved] Czy jest możliwe odzyskanie danych z szyfrowanej, częściowo nadpisanej partycji ?

[Xhris]

Heja.

Mialem dualboot Mint, Windows, na dysku 4 partycje: boot, winda, linux i zaszyfrowana na super tajne dane. Postanowiłem pozbyć się windy i przeinstalować system. Uruchomiłem instalke z Live USB i będąc po części zaabsorbowanym tym co się dzieje na ekranie innego peceta zamiast wskazać ręczny podział partycji wybrałem automatyczny z szyfrowaniem - sądząc ze będę pytany o kolejne kroki. Proces instalacji się rozpoczął, ale przerwałem go po kilku sekundach. Z czterech partycji które wyglądały mniej więcej tak:

Kod: Zaznacz cały

sda      8:0    0 119.2G  0 disk
├─sda1   8:1    0   512M  0 part
├─sda2   8:2    0   40G  0 part
├─sda3   8:3    0   40G  0 part
└─sda4   8:4    0   38G  0 SZYFROWANA (cryptsetup)

Zrobiły się 3, które wyglądają teraz tak:

Kod: Zaznacz cały

sda      8:0    0 119.2G  0 disk
├─sda1   8:1    0   512M  0 part
├─sda2   8:2    0   732M  0 part
└─sda3   8:3    0   118G  0 part

https://pasteboard.co/IAyyPsR.jpg

Przy probie montowania sda3 poleceniem:

Kod: Zaznacz cały

# cryptsetup open /dev/sda3 backup

owszem pojawia się monit o hasło, jednak otrzymuje zwrotnie info:"brak klucza dla tego hasła".
Dodam, ze wpisuje hasło deszyfrujące sprzed zmian. Podczas instalacji nowego sytemu instalator nie zdążył mnie zapytać o hasło, ponieważ proces przerwałem, naciskając eneter otrzymuje ten sam powyższy komunikat.

Czy mogę się jeszcze dostać do tych danych, czy to tylko walka z wiatrakami ?
Pozdrawiam.

[mario_7]

Jest prawdopodobne, że jeśli odzyskasz układ poprzednich partycji, to może jeszcze dane na nich nie zostaly nadpisane i uda się je odzyskać/rozszyfrować. Może program testdisk umożliwi Ci przywrocenie poprzedniego układu partycji.

Generalnie zawsze warto robić kopie bezpieczeństwa ważnych danych. Teraz też byłoby dobrze zrobić obraz dysku na wypadek gdyby próby dzyskania danych tylko pogorszyły sytuację.

[Xhris]

Dzięki @mario_7!
Dobry pomysł z obrazem dysku, oczywiście wykonałem w pierwszej kolejności. A generalnie jeśli chodzi o backup danych to właśnie nim była ta zaszyfrowana partycja. Była w zasadzie od dawna, przeżyła już kilka systemów, a tu przez nieuwagę zonk.

Pobawiłem się już trochę narzędziem "Testdisk", wykrył partycje, przywróciłem tylko tę zaszyfrowaną, na tamtych w zasadzie mi nie zależy, ale nadal mam komunikat "klucza brak dla podanego hasła". Może rzeczywiście zgodnie z Twoją sugestią jak przywrócę wszystkie tak jak były wcześniej, to coś zmieni, ale to już najwcześniej jutro.
Pozdrawiam.

P.S.
Tak na marginesie, trochę to dziwne ponieważ wczoraj i dziś, dokładnie jak próbuję wysłać posta pokazuje mi się komunikat 502 Bad gateway wraz z wersją nginx. Ponadto z tego co kojarzę pokazuje się 1.14.0 a można już zaktualizować do 1.16.1, ale to tam tak jak wspomniałem na marginesie.

Jeszcze raz dzięki i pozdrawiam.

[Xhris]

Niestety operacja zakończona niepowodzeniem, nie udało mi się odzyskać danych, dostać do zaszyfrowanej partycji.

Na pewno zapamiętam, że używając automatycznego instalatora z szyfrowaniem, nie można wybrać, która partycja będzie zaszyfrowana, a która nie. Instalator prócz partycji rozruchowych, szyfruje całe dostępne na dysku miejsce, tworząc jedną partycję i nadpisując pozostałe (na bank w Bodhi). Chcąc zachować jakąkolwiek partycję ZAWSZE należy wybrać RĘCZNE PARTYCJONOWANIE i dopiero później szyfrowanie wybranych partycji.

Temat do zamknięcia.
Pozdrawiam.

[mario_7]

https://askubuntu.com/questions/483584/ ... ed-over-it
Zatem, jeśli nagłówek zaszyfrowanej partycji uległ uszkodzeniu, to faktycznie nic nie da się już zrobić - chyba, że masz gdzieś kopię tego nagłówka.

[Xhris]

Niestety nie mam kopii.
Pozdrawiam.

[Xhris]

Myślałem, że utraciłem kopię. Wcześniej próbowałem dwukrotnie przywrócić obraz sklonowanwgo dysku (Clonezilla) i w którymś miejscu po +- 30 min, błąd odczytu (chińska przejściówka USB 2.0 to SATA/IDE - to chyba jej wina), dysk też nie był 100%owo pewny, jednak udało mi się skopiować obraz na dysk peceta, gdzie nie muszę wykorzystywać przejściówki, więc pojawiła się ponownie szansa . Proszę nie zamykać wątku.
Dzięki.

[jacekalex]

Zamiast wielkich obrazów partycji lepiej robić kopie plików.
Rsync czy Rdiff-backup sprawdza sumę kontrolną każdego kopiowanego pliku, i przy okazji łatwo można aktualizować kopię np raz na tydzień.

Kopiowanie całych obrazów partycji w przypadku $HOME i innych folderów z plikami użyszkodników nie ma większego sensu.

[Xhris]

Heja.

Kolejna rozpaczliwa próba. Przywróciłem obraz dysku (Clonezilla), wynik polecenia lsblk, (z sdb jest uruchomione disrto LIVE):

Kod: Zaznacz cały

# lsblk -o "NAME,SIZE,FSTYPE,TYPE,LABEL,MOUNTPOINT,UUID"

NAME     SIZE FSTYPE      TYPE LABEL                       MOUNTPOINT UUID
loop0    1.9G iso9660     loop Linux Mint                  /cdrom     2019-07-29-13-05-07-00
loop1    1.8G squashfs    loop                             /rofs      
sda    119.2G             disk                                        
├─sda1   512M vfat        part                                        C420-2C96
├─sda2   732M ext4        part                                        cfr567y3-ht56-67yu-67yh-cfdfr345efca
└─sda3   118G crypto_LUKS part                                        84frt56y-56hf-drtg-56tg-dfghygfd5f2d
sdb     57.3G             disk                                        
├─sdb1  57.3G ntfs        part PENDRIVE                    /isodevice 45G6Y7U8FC229E60
└─sdb4   5.1G ext2        part casper-rw                              7dfr4693-56y6-yuif-gthy-fgtyhu789cb5
sr0     1024M             rom  

Poniżej log narzędzia Testdisk:

Kod: Zaznacz cały

TestDisk 7.0, Data Recovery Utility, April 2015
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
OS: Linux, kernel 4.15.0-54-generic (#58-Ubuntu SMP Mon Jun 24 10:55:24 UTC 2019) x86_64
Compiler: GCC 7.2
ext2fs lib: 1.44.1, ntfs lib: libntfs-3g, reiserfs lib: none, ewf lib: none, curses lib: ncurses 6.0
/dev/sda: LBA, HPA, LBA48 support
/dev/sda: size       250069680 sectors
/dev/sda: user_max   250069680 sectors
/dev/sda: native_max 250069680 sectors
/dev/sda: dco        250069680 sectors

Warning: can't get size for Disk /dev/mapper/control - 0 B - 0 sectors, sector size=512
Hard disk list

Disk /dev/sda - 128 GB / 119 GiB - CHS 15566 255 63, sector size=512 - TS1289JUHDEF, S/N:C34345DFS ,FW:345E312
Disk /dev/sdb - 61 GB / 57 GiB - CHS 58656 64 32, sector size=512 - SanDisk Ultra, FW:1.00

Partition table type (auto): EFI GPT
Disk /dev/sda - 128 GB / 119 GiB - TS1289JUHDEF
Partition table type: EFI GPT

Analyse Disk /dev/sda - 128 GB / 119 GiB - CHS 15566 255 63
hdr_size=92
hdr_lba_self=1
hdr_lba_alt=250069679 (expected 250069679)
hdr_lba_start=34
hdr_lba_end=250069646
hdr_lba_table=2
hdr_entries=128
hdr_entsz=128

Current partition structure:
 1 P EFI System                  2048    1050623    1048576 [EFI System Partition]
 2 P Unknown                  1050624    2549759    1499136
 3 P Unknown                  2549760  250068991  2475192323

Po szybkim skanowaniu, Testdisk odnajduje kilka dodatkowych partycji, gdzie pierwsza i dwie ostatnie są na zielono z parametrem P (zgodnie z legenda > Primary, reszta z literka D > deleted):

Kod: Zaznacz cały

Disk /dev/sda - 128 GB / 119 GiB - CHS 15566 255 63
     Partition               Start        End    Size in sectors
>P MS Data                     2048    1050623    1048576 [NO NAME]
 D MS Data                  1050624    2549759    1499136
 D MS Data                  2000894   70381565   68380672
 D MS Data                  2549760    2553855       4096
 P MS Data                 70381568  162179071   91797504
 P MS Data                162179072  162183167       4096

Animowany GIF pokazuje jak to wygląda:

testdisk.gif

Testdisk - wynik skanowania

(149.56 KiB) Nie pobierany

lub:
https://pasteboard.co/IBLPGKf.gif

Partycje 4 i 6 (licząc od góry) testdisk pokazuje jako LUKS 1, ale każdej rozmiar to około 2MB, (może sa jest to miejsce gdzie były , są trzymane nagłówki - dwie szyfrowane partycje stara oraz nagłówek nowej, przynajmniej jeszcze niezaszyfrowanej).

Partycja 5 to NTFS czyli winda (z tej po zapisaniu struktury i wykonaniu ponownego rozruchu udało mi się przywrócić ok. 10GB danych).

Obstawiałbym, ze partycja 3 była zaszyfrowana (napis Backup na dole - właśnie tak była labelowana) jednak nawet po zmianie jej typu na MBR i ustawieniu Linux LUKS, nie mogę nadal się do danych dostać.(poniższy gif obrazuje sytuacje)

testdiskMBR.gif

Testdisk zmiana na MBR i LUKS

(239.84 KiB) Nie pobierany

lub:
https://pasteboard.co/IBLQyI9.gif

Podczas prób montowania kolejno komunikaty:

Kod: Zaznacz cały

root@mint:/home/mint# mount /dev/sda1 /tmp/sda1
mount: /tmp/sda1: wrong fs type, bad option, bad superblock on /dev/sda1, missing codepage or helper program, or other error.

root@mint:/home/mint# mount /dev/sda2 /tmp/sda2
mount: /tmp/sda2: unknown filesystem type 'crypto_LUKS'.

/home/mint# cryptsetup open /dev/sda2 bck2
Enter passphrase for /dev/sda2: 
Requested offset is beyond real size of device /dev/sda2.

Polecenia lsbk -o "SIZE, TYPE..."

Kod: Zaznacz cały

sda  119.2G        disk                     
├─sda1
│     32.6G        part                     
└─sda2
         2M crypto part                     

Gdy wybieram inna partycje LUKS 2 wraz z ta trzecia i zmieniam z D na P, otrzymuje komunikat "Bad structure" (poniższy gif obrazuje sytuacje).

testdisk_badstructure.gif

Testdisk - Badstructure

(43.16 KiB) Nie pobierany

lub:
https://pasteboard.co/IBLQXp4.gif

Nie wiem co mogę jeszcze zrobić. Jest szansa na dostanie się do tych danych?

Z góry dzięki, pozdrawiam.

[mario_7]

Okazuje się, że TestDisk nie jest w stanie wykryć prawidłowego rozmiaru partycji zaszyfrowanej, a jedynie jej nagłówek - niestety brak w nim informacji o rozmiarze.

Zatem należy ręcznie utworzyć partycję z sektorem początkowym tam gdzie zaczyna się nagłówek, a sektor kończący o jeden mniejszy niż pierwszy sektor następnej partycji lub ostatni sektor dysku (zależy czy partycja była ostatnia na dysku czy nie).
Tak utworzoną partycję powinno się dać rozszyfrować.

[Xhris]

Heja.

Widocznie już tak jest namieszane, ze testdisk nie wykrywa również kolejności partycji, wiec najpierw zmieniłem typ partycji z GTP na MGR i LUKS obydwu nagłówków aby sie nie pomylić, reboot,
gif w załączeniu:

restoreMBR_LUKS.gif

restore_MBR_LUKS

(437.43 KiB) Nie pobierany

Kolejny krok: uruchomiłem gparted aby powiększyć, rozciągnąć odpowiednia partycje z nagłówkiem, nie moglem wykorzystać całej przestrzeni wiec wybrałem 1MB mniej
gif w załączeniu:

resizeLuksGparted.gif

resizeGparted

(336.82 KiB) Nie pobierany

Następnie spróbowałem zamontować partycje wpisując:

Kod: Zaznacz cały

# cryptsetup open /dev/sda2 BCK
Enter passphrase for /dev/sda2: 
root@mint:/home/mint# 

Ku mojemu zdziwieniu bez błędów, jestem w stanie nawet wykonać zrzucik:

Kod: Zaznacz cały

# cryptsetup -v luksDump /dev/sda2

Version:       	1
Cipher name:   	aes
Cipher mode:   	xts-plain64
Hash spec:     	sha1
Payload offset:	4096
MK bits:       	256
MK digest:     	8a d sk 98 6s 7s 7b f9 59 e6 36 ki 8d ud 54 96 b7 1f f6 83 dd 
MK salt:       	aa 18 27 e7 0e 55 1d 8e 17 14 a5 b1 9c 74 b2 17 
               	9a d1 57 08 ff 49 bb a1 c4 8e 10 f3 c4 6b ac 4f 
MK iterations: 	42250
UUID:          	def36d9-da51-43ad-aaad-1658cedce6d9

Key Slot 0: ENABLED
	Iterations:         	156702
	Salt:               	48 35 35 dg 6d 6d 1f d8 ce ff 23 cd 7e ec 9d 92 e7 
	                      	61 99 66 24 id 9d 8d 8d 7d bb 70 4c 24 a2 f8 6b 42 
	Key material offset:	8
	AF stripes:            	4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Command successful.

Po otworzeniu Thunara pojawiła się partycja odpowiednio nazwana, jednak po kliknięciu na nią pojawia się komunikat:

Kod: Zaznacz cały

Failed to mount BCK
Error mounting /dev/dm-0 at /media/mint/BCK: wrong fs type, bad option, bad superblock on /dev/mapper/BCK, missing codepage or helper program, or other error

Ten sam powyższy komunikat pojawia się w terminalu po wpisaniu:

Kod: Zaznacz cały

mount /dev/mapper/BCK /tmp/backup/

Przy probie automatycznej naprawy za pomocą fsck:

Kod: Zaznacz cały

# fsck -p /dev/mapper/BCK 

BCK: The filesystem size (according to the superblock) is 10985728 blocks
The physical size of the device is 10985472 blocks
Either the superblock or the partition table is likely to be corrupt!

BCK: UNEXPECTED INCONSISTENCY; RUN fsck MANUALLY.
	(i.e., without -a or -p options)

Wiec zgodnie z zaleceniem wpisuje fsck /dev/mapper/BCK i otrzymuje:

Kod: Zaznacz cały

The filesystem size (according to the superblock) is 10985728 blocks
The physical size of the device is 10985472 blocks
Either the superblock or the partition table is likely to be corrupt!
Abort<y>? no
BCK contains a file system with errors, check forced.
Pass 1: Checking inodes, blocks, and sizes
Pass 2: Checking directory structure
Pass 3: Checking directory connectivity
Pass 4: Checking reference counts
Pass 5: Checking group summary information
BCK: 49984/2747136 files (0.5% non-contiguous), 9843636/10985728 blocks

Tak na chłopski rozum biorąc wygląda na to, ze rozmiar fizyczny partycji jest ciut mniejszy 10985472 niż ten zapisany w nagłówku 10985728, i nie wiem czy to wynika z tego, ze zmniejszyłem rozmiar partycji o 1MB, czy z uszkodzonego nagłówka?

Pozdrawiam.

[Xhris]

JEST

Udało się !

Zamiast wykorzystywać Gparted pomyślałem sobie aby użyć parted do poszerzenia partycji, jednak nie znalazłem opcji w stylu "wykorzystaj cala wolna przestrzeń", wiec spróbowałem rozszerzyć partycje za pomocą narzędzia "cfdisk", wykonałem ponowny rozruch, następnie zamontowałem:

Kod: Zaznacz cały

 cryptsetup open /dev/sda2 BCK

i ..... automatycznie Thunar pokazał katalogi i pliki z zaszyfrowanej partycji.

Dzięki @mario_7, WIELKIE dzięki !!!

Pozdrawiam