Библиотека

Мы делимся с Вами только полезной информацией

Борьба с зашифрованными разделами продолжается…

Прошлая неделя оказалась довольно интересной в плане заказов на восстановление данных. Помимо всего прочего (накопители с мертвыми головками, флешки без признаков жизни, треснутый посередине DVD и даже дискета), прибыли с задержкой один день два зашифрованных диска.

Первый – Apple FileVault. Пришел в составе ноутбука MacBook Air на маленьком SSD-диске с особым типом коннектора. FileVault – хорошая, надежная система шифрования (используется AES-алгоритм с шифрованием 256-битным ключом), у которой есть одно слабое место: стоит только на диске появиться хотя бы одному «битому» сектору в области зашифрованных данных, как вся система шифрования отказывается работать, система не загружается и данные, соответственно, перестают быть видны. Выглядеть это может по разному: от стандартного «белого экрана смерти», если дефектный сектор попал в критически важный для загрузки файл, до банальной невозможности продолжить загрузку после выбора пользователя и ввода пароля. В нашем случае это был именно такой вариант: система загружалась до ввода пароля, после чего – после какого-то времени – выдавала белый экран с нарисованным на нем красным крестом: обломайтесь.

В случае с FileVault основная задача специалиста по восстановлению данных – сделать полную посекторную копию накопителя. Для макбуков с их разнообразием соединения SSD это задача нетривиальная: тип коннектора надо знать абсолютно точно, иначе можно сжечь накопитель, подав не то напряжение не на те ноги коннектора. При внешнем сходстве разъема разные модели ноутбуков имеют разные выводы: где-то один и тот же вывод окажется данными, а где-то – питанием.

За 7 лет, что мы занимаемся ремонтом техники Apple, наши инженеры составили таблицу, в которой для каждой модели лаптопа указан тип коннектора. И, конечно же, в нашей коллекции имеются все типы адаптеров для перевода твердотельного накопителя из Apple-бука в стандартный интерфейс SATA. Поэтому, как несложно догадаться, проблем с клонированием SSD у нас не возникло.

После того, как SSD был склонирован, мы решили воспользоваться недавно встроенной в РС-3000 «фичей» по расшифровке FileVault, и… жестоко разочаровались. Не работает, Карл!!! Разрекламированная фича оказалась пшиком. Но данные-то восстанавливать надо – поэтому мы пошли, как в той песне, «другим путем». Из образа был извлечен файл, который содержит ключи шифрования (а без них ни один зашифрованный раздел не расшифровать), диск был подмонтирован на исправный мак, и посредством терминальных команд была запланирована принудительная расшифровка. Процедура расшифровки повисев некоторое время в состоянии Paused, выпала в состояние Completed и повисла — вот ведь незадача . Вариантов, кроме перезагрузки устройства не оставалось. При попытке монтировать расшифрованный раздел, нас ожидало удивление — файловая система не работала, зашифрованный ранее раздел уже не просил пароль, но и не монтировался, однако, начало диска оказалось вменяемым! На диске вместо «каши» просматривались осмысленные данные! Большую часть данных удалось восстановить после того как расшифрованный образ был подключён к Data Extractor и просканирован. Ура, самые важные данные были спасены!

Однако этот заказ оказался лишь затравкой к другому, более сложному, который пришел на следующий день – накопитель, зашифрованный TrueCrypt, который был, во-первых, отформатирован (прощайте штатные ключи шифрования) и после этого на него был еще «накатан» образ диска (акронисом, вестимо), объемом 2 гигабайта (до свидания, файловые таблицы и другие прикольные штуки). Вот тут нам пришлось активировать весь наш профессионализм, а также выдержку (потому что без матов на все это безобразие реагировать трудно) и терпение (потому что лишние движения в таком случае – реальный враг позитивного исхода).

Итак, было решено действовать по стандартной схеме (хотя заказчик и хотел данные «еще вчера», пришлось ему объяснить, что с кондачка такие вопросы не решаются, и требуется не только предварительная подготовка, но и серьезное изучение проблемы). Перво-наперво, исходный накопитель был склонирован сектор-в-сектор, так как завсегда лучше работать с копией (ее можно и испортить, если что), чем «курочить» оригинал (кстати, именно это и отличает профессионала от непрофессионала).

Во время клонирования были произведены изыскания относительно того, что же такое TrueCrypt и с чем его едят. И тут – бинго! – оказалось, что это система шифрования с открытым исходным кодом. «Ага» — подумал инженер, — «вот где надо копать». И начал копать.

Не будем кривить душой – TrueCrypt – система хорошая, если не знать, что она открытая. И для большинства пользователей ее расшифровка невозможна, если с ней что-то случилось или были утеряны ключи. Но даже средней руки программист, заглянув в код, найдет в нем столько полезного для расшифровки данных! Для того, чтобы разобраться, как расшифровать утерянный раздел, у нашего специалиста ушло 4 часа «хождения по мукам» (по коду, конечно). В результате этих хождений было выяснено, как сгенерировать новые ключи шифрования и как запустить принудительную расшифровку с только что сгенерированными ключами. Единственной проблемой теперь становились сильные разрушения файловой системы в результате перезаписи первых 2 гигабайт данных.

Расшифровка раздела заняла почти 6 часов, по окончании которых нам предстала печальная картина: ни MFT, ни его зеркала – нет. Останки (именно так их можно назвать после этой вивисекции шифрованного диска) файловой системы имелись, но в виде куцем и неприглядном. Но – опыт решает все! Заказчик предоставил крайне важную информацию о том, как функционировал этот раздел, и на основе этой информации были предприняты попытки по поиску копий файловых таблиц и по их сборке в «единый организм» (на основе бэкапов раздела, которые в том же разделе и хранились). Последний бэкап был недельной давности, но для реконструкции ФС вполне годился. Ну а получив на руки «живые» файловые таблицы, внести необходимые изменения и наслаждаться восстановленными данными – дело уже нескольких минут.

Статья взята с сайта www.911.kg

Станислав Корб | 15 Февраля 2017