1TB のハード ドライブがあり、そこに 40GB の TrueCrypt (非隠し) ボリュームを作成しました (ヘッダーはバックアップしていませんが、パスワードは残っています)。ハード ドライブのパーティションが失われ、複数の回復プログラムを試しましたが、すべてボリュームを見つけることができませんでした。ドライブは現在フォーマットされておらず、イメージを取得しましたが、ボリュームを見つけるにはどうしたらよいかわかりません。
答え1
まあ、パーティションが失われた場合、おそらく 40 GB の TrueCrypt データも同じイベントで侵害された可能性があります...
手作りのソリューション:
mount次のようなスクリプトを書くことができます:オフセットパーティションであるかのように、TrueCryptを適切なパラメータとパスワードで呼び出し、TrueCryptが0を返したら停止して満足し、そうでない場合は次の値で再度試します。オフセットすべての画像を試すまで。
実験:
上記の方法が機能しない場合は、次のテストを行う必要があります。新しいハード ディスクで同じ問題を再現し (暗号化されたパーティションを作成してから MBR を削除)、同じアプローチを試してください。機能する場合は、おそらくデータの一部が侵害されています。機能しない場合は、私のアプローチまたは実装に欠陥があります。
答え2
1 つの方法は、同一のドライブ (またはイメージ化されている場合は同じドライブ) に同一のパーティションを作成し、MBR をバックアップし、そのイメージからドライブを再イメージ化して、最後に MBR を元に戻すことです。パーティションが実際に同一であり、TC パーティションのヘッダー/バックアップ ヘッダーが上書きされていない場合は、手順の後に暗号化されたパーティションをマウントできるはずです。
それができなければ、適応することを検討し始めるだろうhttp://16s.us/TCHuntTC パーティションを構成する可能性のある生のディスク データを検索します。
答え3
残念ながら、TrueCrypt パーティションはランダム データのように見えるため、それが本当に TrueCrypt パーティションであるかどうかはわかりません。TrueCrypt の機能の 1 つはパーティションを認識できないようにすることであるため、その TrueCrypt ボリュームを復元することはできません。したがって、ハード ディスクのどの部分であっても、それが TrueCrypt パーティションの一部であるかどうかはわかりません。