Re: filesystem cifrato e recupero dati
Il Mon, 12 Oct 2009 17:15:11 +0200, Carlo ha scritto:
> Situazione di test:
> Partizione di circa 5gb criptata
> Provo a fare molteplici buchi sul filesystem cifrato per vedere come si
> comporta.
>
>
>
> 1°caso(dd if=/dev/zero of=/dev/sdd3 bs=100000 count=1): si cancellano i
> primi 1024 byte della partizione. e abbiamo una situazione così.
> Soluzione:
> Addio!
> I dati ci sono, ma siccome la struttura del disco e di come sono stati
> cifrati i dati sono scritti in quei 1024byte non credo si possa fare
> nulla.
> Cryptsetup ti chiede la password ma poi ti risponde che è sbagliata. Non
> ho idea di come decrittare la partizione criptata altrimenti. Potrei
> provare con loop ma credo che sia identica la cosa.
non saprei come recuperare i dati in questo caso.
ma una cosa possibile, e che potresti testare, è farsi un backup
dell'header prima di azzerarlo.
e poi ripristinarlo. per vedere se torna normale.
o provare a vedere se qualcosa cambia ad ogni mount, o magari dopo aver
aggiunto/rimosso/modificato files.
>
>
>
> 2° caso( dd if=/dev/zero seek=5000 of=/dev/sdd3 bs=10000000 count=1):
> si danneggia la partizione dopo i primi 1024 byte (e forse ne servono
> qualcuno in più per recuperare qualcosa)
>
> Soluzione:
> Cryptsetup riesce a montare la partizione tranquillamente.
>
> fsck.ext3 di /dev/mapper/(partizione montata) restituisce
> root@carlo-laptop:/# fsck.ext3 /dev/mapper/provahd e2fsck 1.41.4
> (27-Jan-2009)
> /dev/mapper/provahd: clean, 98932/305216 files, 845434/1220683 blocks
>
> wow non si accorge proprio che io ho bucato il filesystem!
>
> poi però quando vado a cercare di copiare i file dal punto corrotto del
> filesystem:
> cp: lettura di "/provahd/usr/share/doc/nautilus-data/changelog.gz":
> Errore di I/O
>
> ok questo è ottimo se ci si trova in questo caso praticamente si
> comporta come un filesystem normale basta montarlo!
in questo caso credo dipenda anche dal modo AES usato per cifrare.
Probabilmente sono da buttare tutti i settori che sono stati modificati
in parte.
Reply to: