以下は、関連性があると思われる短いスレッドの具体的な質問です。
私はウェスタンデジタル(マイブックスタジオ)外付けドライブを持っています。 (2009年頃に購入した以前のバージョンにはUSBおよびFIREWIREポートがあります)
そのドライブには重要なバックアップがたくさんあります。
ドライブが暗号化されました。
ドライブの取り外し中に問題が発生し、アクセスできなくなりました。
ドライブはまだ良好で不良セクタはありません。
さまざまなツールを使用してファイルを回復し、ddコマンドを使用して完全なイメージを作成しました。
問題は、回復されたファイルがまだ暗号化されていることです。
私が調査した結果、このWDドライブは、ドライブの最後のセクタに格納されたハードコードされた暗号化キーを使用し、暗号化中に選択したパスワードは、アクセスに使用されるsha256ハッシュを生成するためにのみ使用されることを発見しました。実際の復号化キー。
このドライブに関する(非常に良い)記事から:https://eprint.iacr.org/2015/1002.pdf私の特定のチップセットでは、暗号鍵がハードドライブの最後のブロックで「SInE」で始まることがわかりました。
私の質問は、キー全体を取得するためにハードディスクブロックをどのように読み取ることができるかということです。 ddはこれを行うことができますか?不良セクタのない2テラバイトドライブ。上記の記事によれば、WDハードウェアはこれらのセクタへのアクセスをブロックしますが、WDケースからドライブを取り出してSATAポートに直接接続するとアクセスできます。
私が試したこと:「安全な」ドライブのディスクイメージがすでに存在していたため、ドライブから直接ファイルを回復しようとしましたが、回復ソフトウェアは、精密スキャンを実行すると古い(削除された)ファイルも検索します。そして、少量のものを復元するようです。そのため、ddを使用してドライブ全体にゼロを書き込んだ後(回復可能な「削除された」ファイルがないようにするため)、ドライブを元のWestern Digitalケースに挿入して再フォーマットして同じ暗号化ドライブを作成しました(同じドライブを使用)。パスワードをオリジナルとして使用) その後、ddを使用して作成した画像を「復元」しました。その後、mac diskutilの緊急処置を実行しました(これはmacファイルであり、元の形式はHFS +です)。ドライブがその中にあるファイルがまだ暗号化されていることを何とか認識してほしいです。役に立たない。
復元されたファイルを別のディスクに保存しましたが、そのファイルをデコード/復元できるソフトウェアが見つかりませんでした。手動でデコードしようとすると、常に復号化キーが正しくないというメッセージが表示されます。前述のように、私のパスワードは実際のキーではなく、ドライブにアクセスするために使用されるハードコードされたキーにすぎません。
DDは2TBドライブを使用した「実験」に非常に遅いです。試してみるすべてのテストには32時間以上かかるため、そうでない場合を除き、ドライブの最後のセクタに「ジャンプ」する方法が必要です。そこにいくつのセクタがあるのか、何個のセクタにジャンプする必要があるのか、DDが必要な生のASCIIブロックを読み取るのに適したツールであるかどうかを知っています。
助けてくれてありがとう。ほぼ20日間これをやってきました。
とても感謝しています。
PS 私はLinux(Ubuntu 20.04)とMacコンピュータを持っているので、Windowsではなくソリューションを探しています。ありがとう
ベストアンサー1
tail -c 512000 /dev/sdX
ドライブの最後の512000バイトを読み取り、標準出力に書き込みます。
perl -0777 -ne 'print $& if /SInE.*/s'
部品が最初に現れる部分から始めて部品を抽出するパイプですSInE
。
または、perl
自分でエンドポイントを探してください。
perl -e '
seek STDIN, -512000, 2 or die "seek: $!";
$/ = undef;
$_ = <STDIN>;
print $& if /SInE.*/s' < /dev/sdX