Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2015-07-01 11:40:07
uzytkownik456 - Nowy użytkownik
- uzytkownik456
- Nowy użytkownik
- Zarejestrowany: 2015-07-01
Odzyskiwanie danych z True Crypt'a
Witam
Mam następujący problem. Przy odwirusowaniu kompa, przez przypadek usunąłem pliki o nazwach typu ,,lkjqsakjgbskjfbsjkbfwkje", które podejrzewałem, iż są zwyczajnymi wirusami. Jak się szybko okazało, po zamontowaniu dysku truecryptem, nie mogę odczytać ich zawartości, gdyż brakuje do otworzenia właśnie tych plików, które usunąłem - mogę zamontować dysk i wejść do niego, ale nie mogę wejść do folderu, który zawiera wszystko co tam jest. Prawdopodobnie były to foldery szyfrujące hasło. Z racji tego, że opróżniłem kosz, próbowałem je wyszukać programem EaseUS Data Recovery, i coś tam znalazłem, jednak jest jeszcze jeden problem... nie pamiętam ich dokładnej lokalizacji. Wiem, że większość z nich znajdowała się w USER, oraz system32, do czego doszedłem znajdując element docelowy we właściwościach dysku, jak i na podstawie nowego, roboczego dysku, który przed chwilą utworzyłem. Wiem, gdzie znajdują się te foldery do tego nowego dysku, więc pomyślałem, że może jeśli odszukam wszystkie usunięte foldery i wrzucę do lokalizacji nowego dysku, to może je odczyta. To niemniej, muszę przeszukać kilkaset tysięcy plików, żeby to odnaleźć...
Próbowałem również programem Passware kit 2015, jednak nie łamie on zabezpieczeń, a jedynie podaje hasło, które znam.
Próbowałem również uruchomić przywracanie systemu, jednak też nie chce mi działać.
Cała zawartość leży tam w środku nietknięta, hasło znam, tylko nie mam do niej dostępu. Mam tam bardzo ważne informacje i muszę je odzyskać, skopiować gdzieś, wysłać... cokolwiek.
Będę wdzięczny za każdą pomoc
Offline
#2 2015-07-01 13:05:57
morfik - 
Cenzor wirtualnego świata
Re: Odzyskiwanie danych z True Crypt'a
mogę zamontować dysk i wejść do niego, ale nie mogę wejść do folderu, który zawiera wszystko co tam jest. Prawdopodobnie były to foldery szyfrujące hasło[/quote]
Nie wiem co to było ale skoro możesz otworzyć kontener trucrypta, znaczy to, że hasło zostało zaakceptowane i dane są szyfrowane/deszyfrowane w locie. Jak nie możesz wejść do folderu, to jest to wina systemu plików, który być może został uszkodzony z jakiegoś powodu. Nie znam błędu jaki ci systemu wyrzuca po przejściu do tego katalogu to ci nie powiem jak jest w istocie. Poza tym nie znam się na windowsach. :]
Offline
#3 2015-07-01 15:05:09
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: Odzyskiwanie danych z True Crypt'a
2030
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:19:50)
Offline
#4 2015-07-01 17:30:04
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Odzyskiwanie danych z True Crypt'a
Na jakim systemie operacyjnym dokładnie jest ten cyrk z Truecryptem?
Jaki system plików masz w tym kontenerze Truecypta?
Pytam, bo coś mi się zdaje, że nie ten dział, i chyba forum też kiepsko wybrałeś.
Ostatnio edytowany przez Jacekalex (2015-07-01 20:48:05)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2015-07-01 17:53:30
Pavlo950 - człowiek pasjonat :D
Re: Odzyskiwanie danych z True Crypt'a
[quote=Jacekalex]Pytam, bo coś mi się zdaje, że nie ten dział, i chyba forum też kiepsko wybrałeś.[/quote]
Też mi się tak zdaje. Gość może szuka ostatniej deski ratunku :D
_____
Jeden z najprostszych pomysłów, na które wpadłem, to zapuścić photorec.
Ostatnio edytowany przez Pavlo950 (2015-07-01 17:54:06)
Offline
#6 2015-07-01 23:07:16
Yampress - Imperator
- Yampress
- Imperator
- Zarejestrowany: 2007-10-18
Re: Odzyskiwanie danych z True Crypt'a
wiecej ludzi traci dane poprzez szyfrowanie niż przez kradzież. Należy się zastanowić czy szyfrować...
Offline
#7 2015-07-02 05:22:32
morfik - Cenzor wirtualnego świata
Re: Odzyskiwanie danych z True Crypt'a
Całe szczęście, że szyfrowanie połączeń https czy ssh albo wszystkich pozostałych nie wymaga od ludzi większego wkładu własnego, bo wtedy to chyba dalej byśmy operowali na telnecie i kradli dane przez wiresharka. xD
Pytanie nie jest czy szyfrować, tylko jak szyfrować. Ja mam swoje dyski zaszyfrowane od ilu 6-7lat? xD I jeszcze ani razu przez szyfrowanie nie straciłem żadnych danych. Zatem sam mechanizm szyfrowania prosiłbym zostawić w spokoju. xD
Poza tym, przy takim podejściu to nas chyba czeka "[url=https://letsencrypt.org/]SSL Apocalypse[/url]" xD
Offline
#8 2015-07-02 05:24:14
Pavlo950 - człowiek pasjonat :D
Re: Odzyskiwanie danych z True Crypt'a
[quote=Yampress]wiecej ludzi traci dane poprzez szyfrowanie niż przez kradzież. Należy się zastanowić czy szyfrować...[/quote]
Zależy jak patrzeć. Jeśli patrzeć na to, że rząd nie mógłby dobić się do danych, a z definicje rząd w większości przypadków, to przedstawiciele ogółu narodu, to rzeczywiście tak jest XD poza tym, jak ktoś nie umie, to niech się za to nie zabiera.
Offline
#9 2015-07-02 06:07:45
morfik - Cenzor wirtualnego świata
Re: Odzyskiwanie danych z True Crypt'a
Problem z wykradaniem danych jest taki, że bardzo rzadko ofiara się o tym dowiaduje. xD
A jak już jesteśmy przy samym szyfrowaniu, to ja niedawno powiedziałem ciekawe zdanie ideologiczne, które chyba tutaj się zajebiście nadaje, tak na wypadek gdyby znów ktoś chciał wkleić obrazek z łomem i łamaniem AES256. xD Oto ten fragment:
"Zabezpieczenia nie mają na celu ochronić nas przed dokonaniem włamania czy kradzieży. Wszelkie te mechanizmy są po to, by utrudnić potencjalnemu atakującemu ukrycie faktu, że dokonał on jakichś niepożądanych działań pod naszym adresem. Jeśli masz włączony automount/autostart urządzeń, to wtedy podczas twojej nieobecności gość może podpiąć pendrive i dokonać szybkiego i do tego automatycznego ataku zgrywającego, np. profil firefoxa. Cała sytuacja trwa bardzo krótko i praktycznie jest nie do wykrycia. Zabezpieczenie polegające na wyłączeniu tych dwóch w/w opcji sprawia, że ta forma ataku nie przejdzie i atakujący będzie musiał, np. zgrać profil ręcznie, co oczywiście jest wolniejsze i przez to łatwiejsze do wykrycia. Jeśli blokujesz np. ekran przed odejściem od kompa, to raczej nie da się uzyskać dostępu do systemu od tak, prawda? Oczywiście, gdy atakujący będzie miał więcej czasu podczas twojej nieobecności, może kompa wyłączyć i podłączyć dysk bezpośrednio i zgrać ten profil tak czy inaczej. Jeśli dodatkowo zaszyfrujesz dysk, to czas potrzebny na dokonanie ataku wydłuża się jeszcze bardziej pozostawiając włamywaczowi jeszcze krótsze okno, z którego może skorzystać podczas twojej nieobecności i tak dalej... Każde zabezpieczenie można złamać i ten fakt nie powinien nas powstrzymywać przed ich implementacją." -- Morfik, lato 2015.
Offline
#10 2015-07-02 08:23:20
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: Odzyskiwanie danych z True Crypt'a
2031
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:19:51)
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00009 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00093 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.216.70.205' WHERE u.id=1 |
| 0.00059 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.216.70.205', 1732530946) |
| 0.00045 | SELECT * FROM punbb_online WHERE logged<1732530646 |
| 0.00064 | DELETE FROM punbb_online WHERE ident='18.191.178.16' |
| 0.00064 | DELETE FROM punbb_online WHERE ident='18.225.195.153' |
| 0.00071 | DELETE FROM punbb_online WHERE ident='3.16.76.102' |
| 0.00066 | SELECT topic_id FROM punbb_posts WHERE id=288576 |
| 0.00005 | SELECT id FROM punbb_posts WHERE topic_id=27530 ORDER BY posted |
| 0.00054 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27530 AND t.moved_to IS NULL |
| 0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00129 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27530 ORDER BY p.id LIMIT 0,25 |
| 0.00091 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27530 |
| Total query time: 0.00759 s | |