私の暗号化されたハードドライブはウエスタンデジタル WD5000BPVTUbuntu 14.04 を実行しているのですが、クラッシュしてしまいました。データ復旧を行っている人が、その領域に集中して修復できるように、暗号化キーがハードドライブのどこに保存されているかを尋ねています。また、暗号化の種類やその他の情報についても尋ねていますが、他の質問で見つけられると思います。
彼はまた、元のデバイスはノートパソコンのシリアル番号で暗号化されている可能性があるので、元のデバイスを探すように言った。このハードドライブは暗号通貨ウォレットなので、この男が痕跡を残さずに盗む可能性があるので、この男がこのハードドライブに何が入っているかを見つけないことが私にとって非常に重要だ。
ディスクのイメージを作成するように依頼するのは無理でしょうか? 新しいリカバリ担当者を探したほうがよいでしょうか?
答え1
Ubuntuの組み込み暗号化を使用した場合ユビキタスインストールプロセス中に、ディスクが暗号化されましたルクス。
LUKSパーティションでは、ヘッダーは最初の2メビバイトまで(2MiB)ヘッダーを復元できない場合は、ヘッダーにパーティションの残りの部分を復号化するためのキーが含まれているため、データを復元することはできません。
そのキーを取得するには、8 つのキー スロットのいずれかに一致する有効なパスワードまたはキーファイルが必要です。
特にデータ復旧技術者を信用していないようなので、パスワードは秘密にしておくことをお勧めします。彼は暗号化についても無知のようです。パスワードはラップトップのシリアル番号で暗号化されていません。パスワードを使って復号する。
LUKSヘッダーとパーティションをバックアップする
ディスクの可能な限りのイメージを作成し、LUKS ヘッダーの追加コピーを保持する必要があります。次のコマンドで、LUKS ヘッダーのバックアップを簡単に作成できます。
cryptsetup luksHeaderBackup /dev/sda2 --header-backup-file /media/sda2.luksHeaderBackup
… は/dev/sda2LUKS パーティションであり、/media/sda2.luksHeaderBackupはヘッダー バックアップを保存する場所です。
LUKSパーティションを救出するには、gddrescue:
ddrescue -Svv /dev/sda2 /somewhere/else/rescue.img /somewhere/else/ddrescue.log
/somewhere/else… のサイズよりも多くの空き領域を持つマウントへのパスはどこにありますか/dev/sda2。
gddrescueのマップ ファイルは、/somewhere/else/ddrescue.logハード ドライブのどの領域が読み取り不可能であるかを識別するのにも役立ちます。
コピーした画像の読み取り
ロックを解除するには/somewhere/else/rescue.img、次のコマンドを使用します。
cryptsetup luksOpen /somewhere/else/rescue.img rescue
パスワードを入力すると、cryptsetupロック解除されたパーティションが にマップされます/dev/mapper/rescue。
これでマウントできます/dev/mapper/rescue:
mount /dev/mapper/rescue /mnt
ファイルは になります/mnt。
考慮すべきエッジケース: パーティション イメージではなくフル ディスク イメージ
パーティションだけではなくディスク全体のイメージを作成する場合は、ディスク全体のイメージ内にパーティションをマップする必要があります。
次のいずれかのオプションを使用してこれを実行できます (ただし、他のオプションも存在します)。
# Option 1
kpartx -av /somewhere/else/rescue.img
# Option 2
LODEVICE="$(losetup -f)"
losetup -P "$LODEVICE" /somewhere/else/rescue.img
次のコマンドで LUKS パーティションを見つけることができます。
blkid /dev/loop* | grep crypto_LUKS
/dev/loop0p2が LUKS パーティションである場合は、/dev/loop0p2の代わりにunlock を使用します/somewhere/else/rescue.img。