Re: filesystem cifrato e recupero dati

To: giopas <linux@giopas.eu>, Debian ML Italiana <debian-italian@lists.debian.org>
Subject: Re: filesystem cifrato e recupero dati
From: Carlo <pedro2003@tin.it>
Date: Mon, 12 Oct 2009 17:15:11 +0200
Message-id: <[🔎] 4AD347FF.1080802@tin.it>
In-reply-to: <[🔎] 66ec74fa0910110141x6ecfe082pb8d999bd368fbf35@mail.gmail.com>
References: <4AB8A1BA.4080300@tin.it> <pan.2009.09.22.20.12.39@gmail.com> <4AB9DAD6.6010202@tin.it> <pan.2009.09.23.17.11.46@gmail.com> <4ABA5ED8.1080207@tin.it> <[🔎] pan.2009.10.04.11.22.36@gmail.com> <[🔎] 4AC9A1EE.6080909@tin.it> <[🔎] 6c0506610910050458q6743a1e4w49f86d99d3692af6@mail.gmail.com> <[🔎] 4ACA30F0.9080406@tin.it> <[🔎] 66ec74fa0910110141x6ecfe082pb8d999bd368fbf35@mail.gmail.com>


giopas ha scritto:

Riprendo dopo 6 giorni;

2009/10/5 Carlo <pedro2003@tin.it <mailto:pedro2003@tin.it>>

    si ne avevo sentito parlare anche io, poi in realtà non ci ho mai
    guardato.
    faccio alcune prove come suggeritomi da Marco con il dd.

    poi posto i risultati se son riuscito a recuperare qualcosa :)
    (cosa che dubito)

    Saluti


Che risultati hai avuto alla fine?

Dunque a seguito delle prove fatte posso dire questo.

Situazione di test:
Partizione di circa 5gb criptata

Provo a fare molteplici buchi sul filesystem cifrato per vedere come sicomporta.




1°caso(dd if=/dev/zero of=/dev/sdd3  bs=100000 count=1):

si cancellano i primi 1024 byte della partizione. e abbiamo unasituazione così.


root@carlo-laptop:/# xxd -l 1024 /dev/sdd3
00001d0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00001e0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00001f0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000200: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000210: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000220: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000230: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000240: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000250: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000260: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000270: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000280: 0000 0000 0000 0000 0000 0000 0000 0000  ................

Soluzione:
Addio!

I dati ci sono, ma siccome la struttura del disco e di come sono staticifrati i dati sono scritti in quei 1024byte

non credo si possa fare nulla.
Cryptsetup ti chiede la password ma poi ti risponde che è sbagliata.
Non ho idea di come decrittare la partizione criptata altrimenti.
Potrei provare con loop ma credo che sia identica la cosa.

In un filesystem normale ext3 io qui mi metterei a fare Carving dei datise non riesco a fare nient'altro.




2° caso( dd if=/dev/zero seek=5000 of=/dev/sdd3  bs=10000000 count=1):

si danneggia la partizione dopo i primi 1024 byte (e forse ne servonoqualcuno in più per recuperare qualcosa)


root@carlo-laptop:/# xxd -l 1024 /dev/sdd3
0000000: 4c55 4b53 babe 0001 6165 7300 0000 0000  LUKS....aes.....
0000010: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000020: 0000 0000 0000 0000 6362 632d 6573 7369  ........cbc-essi
0000030: 763a 7368 6132 3536 0000 0000 0000 0000  v:sha256........
0000040: 0000 0000 0000 0000 7368 6131 0000 0000  ........sha1....
0000050: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000060: 0000 0000 0000 0000 0000 0808 0000 0020  ...............
0000070: 9287 1661 fbda 5140 5d6a e0ad caa7 a422  ...a..Q@]j....."
0000080: 30eb b088 c0d4 c362 a3fc d52f 14e9 8f0f  0......b.../....
0000090: 8cdc fe86 bdeb a191 aa26 e158 d613 9290  .........&.X....
00000a0: 55ec 2fd8 0000 000a 6536 3364 6264 3162  U./.....e63dbd1b
00000b0: 2d37 6535 312d 3437 6661 2d38 3464 382d  -7e51-47fa-84d8-
00000c0: 3531 6261 3234 6433 6165 3433 0000 0000  51ba24d3ae43....
00000d0: 00ac 71f3 0003 e170 7728 6bb2 f0b8 d29c  ..q....pw(k.....
00000e0: 761c 48b0 6708 943d f381 b92b d0ba c32b  v.H.g..=...+...+
00000f0: d8e5 338d ecb2 52bf 0000 0008 0000 0fa0  ..3...R.........
0000100: 0000 dead 0000 0000 0000 0000 0000 0000  ................

Soluzione:
Cryptsetup riesce a montare la partizione tranquillamente.

fsck.ext3 di /dev/mapper/(partizione montata)  restituisce
root@carlo-laptop:/# fsck.ext3 /dev/mapper/provahd
e2fsck 1.41.4 (27-Jan-2009)
/dev/mapper/provahd: clean, 98932/305216 files, 845434/1220683 blocks

wow non si accorge proprio che io ho bucato il filesystem!

poi però quando vado a cercare di copiare i file dal punto corrotto delfilesystem:cp: lettura di "/provahd/usr/share/doc/nautilus-data/changelog.gz":Errore di I/O

ok questo è ottimo se ci si trova in questo caso praticamente sicomporta come un filesystem normale basta montarlo!

Concludendo credo che il filesystem cifrato sia interessante e"abbastanza" sicuro viste le prove fatte (a meno di colpi di sfortuna).



Saluti

Carlo

Reply to:

Follow-Ups:
- Re: filesystem cifrato e recupero dati
  - From: davide <lists4davide@gmail.com>

References:
- Re: filesystem cifrato e recupero dati
  - From: davide <lists4davide@gmail.com>
- Re: filesystem cifrato e recupero dati
  - From: Carlo <pedro2003@tin.it>
- Re: filesystem cifrato e recupero dati
  - From: davide <lists4davide@gmail.com>
- Re: filesystem cifrato e recupero dati
  - From: Carlo <pedro2003@tin.it>
- Re: filesystem cifrato e recupero dati
  - From: giopas <linux@giopas.eu>

Prev by Date: Re: riordino "a mouse" e gestione fotografie digitali
Next by Date: Re: ordinamento per nome da bash
Previous by thread: Re: filesystem cifrato e recupero dati
Next by thread: Re: filesystem cifrato e recupero dati
Index(es):
- Date
- Thread