Я удалил всю систему Ubuntu с помощью sudo rm *, и моя домашняя папка зашифрована с помощью ecryptfs

Я только что сделал sudo rm * и удалил все. (да, я знаю, что вы думаете, и я с вами согласен).

Мой SSD имеет 128G, ubuntu 14.10 был установлен на полный раздел, с использованием LVM и с каталогом / home, зашифрованным с помощью ecryptfs (обе настройки выбраны во время установки Ubuntu, в прошлом году).

После моей ошибки я выключил компьютер и сделал образ диска с помощью dd if=/dev/sda of=/externalDisk/ubuntu14.10.img bs=1M.

У меня есть пароль для ecryptfs (меня спрашивали об этой фразе при установке Ubuntu с зашифрованной домашней папкой).


BOUNTY: Как восстановить и расшифровать файлы, зашифрованные с помощью ecryptfs?


Пожалуйста, обратитесь к моему ответу ниже, чтобы увидеть, что я пробовал до сих пор.

4
задан 08.06.2015, 12:57

4 ответа

Вам будет нужен livecd: Восстанавливаются с помощью howtogeek учебного руководства

  1. , Монтируют объем
  2. , Открытый терминал
  3. Входит: sudo ecryptfs-recover-private

Это должно быть Вашим решением согласно той ссылке.

В случае отказа:

ecryptfs-unwrap-passphrase
0
ответ дан 17.04.2019, 22:48
  • 1
    спасибо, но я удалил все (включая/home/.ecryptfs/...) поэтому, даже если он успешно выполняется для монтирования, внутри нет ничего. Я добавлю другой способ, которым я нашел в Интернете (хотя, я didn' t решил мою проблему все же). – Dennis 07.06.2015, 13:19
  • 2
    если Вы can' t получают тот пароль, у Вас будет 32 charachter "в лоб" на Ваших руках. Лучшая вещь теперь состоит в том, чтобы попытаться получить тот пароль от необработанного чтения на изображении, выяснить, как/где они хранятся и ищут заголовок с grep, ищут стандартный заголовок файла, и Вы в конечном счете найдете то, что Вы ищете. Удача и счастливый поиск – Damian Green 08.06.2015, 05:11
  • 3
    В будущем, don' t игнорируют диалоговое окно пароля или создают резервную копию важных частей Вашей домашней папки (btrfs/dvd обработка изображений/облачное хранилище (storj/maidsafe;-)) – Dennis 08.06.2015, 05:14
  • 4
    Привет Тройка, у меня есть passephrase! Я создал резервную копию пароля, когда я установил свой Ubuntu. но после sudo комната *, почти все было удалено в моей системе, включая/home/.ecryptfs./home/victor/.Private был не удален, хотя, но это - символьная ссылка на что-то, что больше не существует. That' s, почему я думаю, нет ничего для монтирования прямо сейчас, и я должен сначала восстановить crypted файлы, и ЗАТЕМ смонтировать crypted файлы в другой системе (и passephrase должен быть полезен для этого заключительного шага). – Damian Green 08.06.2015, 12:52

РЕДАКТИРОВАНИЕ

, О, я просто выяснил, photorec уже в состоянии восстановить ecryptfs файлы по умолчанию:-\, Так забудьте о том, что я записал прежде.

Все, что необходимо сделать, должно загрузить photorec от [1 122] http://www.cgsecurity.org , извлечение и выполнить его

wget http://www.cgsecurity.org/testdisk-7.0.linux26-x86_64.tar.bz2
tar xvjf testdisk-7.0.linux26-x86_64.tar.bz2
cd testdisk-7.0
sudo ./photorec-static /d /path/for/recovered/files /media/victor/externalDisk/ubuntu14.10.img

, Когда сделано, Вы найдете много из recup_dir.X папки в /path/for/recovered/files, которые содержат все восстановленные файлы. Скопируйте весь *.eCryptfs от тех в .Private папка и работайте sudo ecryptfs-recover-private, это должно найти .Private и попросить Ваш Пароль Монтирования (32 символа долго, которые должны были быть сохранены после создания зашифрованный дом)

Наконец, Вы найдете свои дешифрованные файлы в [1 110]. Но всех имен файлов не стало. Их называют как [1 111]. Но смотря на типы пантомимы Вы найдете все свои важные Файлы.

<час>

СТАРЫЙ

<забастовка> Инструменты как [1 112] ищут целый диск известные подписи [1 113] и набор других типов. Поскольку Вы зашифровали свои файлы, это не будет работать.

, Но ecryptfs пишет свой собственный заголовок в каждый файл. Я создал зашифрованный testaccount и смотрел на те файлы с шестнадцатеричным средством просмотра

hex-view

, Как Вы видите, каждый файл имеет идентичные байты, запускающиеся от [1 114] до [1 115] содержащий 00 11 22 33 44 55 66 77 60 и также от [1 117] до [1 118] содержащий 62 08 5F 43 4F 4E 53 4F 4C 45 00 00 00 00 09 50 C7 5C 1F 2C 69 6E. Это могло отличаться на Ваших файлах. Но поскольку Вы уже восстановили некоторые файлы с [1 120], можно проверить это.

Знание этого можно создать собственную подпись для [1 121] после [1 123] учебное руководство на официальном сайте photorec .

Удачи!

0
ответ дан 17.04.2019, 22:48
  • 1
    спасибо за Ваш ответ. I' m пробующий photorec прямо сейчас, сканирование, не законченное все же!... кажется, что это уже нашло много ecryptfs файлов:) лучшее программное обеспечение до сих пор – Damian Green 16.06.2015, 02:26
  • 2
    Я восстановил 88 670 .eCryptfs файлов, но теперь вонзился в процесс дешифрования их. Я просто отправил об этом здесь: askubuntu.com/questions/636764/… – Dennis 16.06.2015, 04:58

Я восстановил много .eCryptfs файлов ( 88 670 ) использование Photorec. Теперь у меня есть ошибка при попытке смонтировать их с ecryptfs (см. здесь: https://askubuntu.com/questions/636764/ecryptfs-mount-wrong-fs-type-bad-option-bad-superblock)

Ecryptfs

Сначала, для underestand важно, как ecryptfs работает . keypoint - то, что это шифрование уровня файловой системы . Это означает, что шифрование содержится в каждом заголовке файла, и поэтому что мы пробуем te, восстанавливаются, crypted файлы . Дешифрование их произойдет после восстановления.

eCryptfs имеет 2 режима по умолчанию в Ubuntu.

  1. Каждый - crypting просто /home/user/Private, папка,
  2. 1145-секундный является crypting целое /home/user каталог.

Вот то, как это работает: crypted файлы хранятся в [1 110] для случая 1, и в [1 111] для случая 2 (/home/user/.Private тогда symlinked к [1 113] для случая 2).

, поскольку пароль большей части пользователя является меньше чем 10 символами, ecryptfs используют его собственные 32 символа , пароль к [1 179] шифрует/дешифрует файлы и путь к файлам. Этот пароль хранится , солил/хешировал в файл, названный обернутым паролем (расположенный в [1 114], тот рядом с .Private папка). Когда пользовательский вход в систему, это смонтирует более низкий каталог (.Private, crypted один) на верхнем каталоге (цель, Private в случае, если 1, /home/user в случае, если 2). И когда пользовательский выход из системы, это размонтировано.

В случае, если однажды необходимо смонтировать ecryptfs crypted папка от liveUSB или от другого компьютера, рекомендуется сохранить (заранее) ecryptfs пароль (поскольку просто использование пароля учетной записи является не всегда опцией смонтировать папки).

Монтируют изображение на loop0

Сразу после того, как наличные деньги, первая вещь Ваш сделала создает dd изображение Вашего диска. Теперь мы загружаемся на liveUSB, мы смонтируем этот изображение dd (сохраненный в [1 182] media/victor/externalDisk в моем случае). Сначала должен проверить на [1 136] стартовый блок из раздела LVM Linux (501758):

#fdisk -l media/victor/externalDisk/ss9backup.img 
Disk /media/victor/blackWD/ss9backup.img: 128.0 GB, 128035676160 bytes
255 heads, 63 sectors/track, 15566 cylinders, total 250069680 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00026d62

                              Device Boot      Start         End      Blocks   Id  System
/media/victor/externalDisk/ubuntu14.10.img1   *        2048      499711      248832   83  Linux
/media/victor/externalDisk/ubuntu14.10.img2          501758   250068991   124783617    5  Extended
/media/victor/externalDisk/ubuntu14.10.img5          501760   250068991   124783616   8e  Linux LVM

Теперь я могу смонтировать раздел на циклическом устройстве путем определения [смещение] = стартовый блок [501750] x размер блока [512].

losetup -o 256901120 /dev/loop0 /externalDisk/ubuntu14.10.img 

, где 256901120 смещение.

Тогда отображают результат с [1 120]:

#pvs
  PV         VG        Fmt  Attr PSize   PFree
  /dev/loop0 ubuntu-vg lvm2 a--  119,00g    0 

тогда активируются с:

#vgchange -a y ubuntu-vg
2 logical volume(s) in volume group "ubuntu-vg" now active

и наконец монтируются (только для чтения) корневой раздел (только, чтобы взглянуть внутри для наблюдения, что оставляют, но средства восстановления не будут использовать это монтирование) с:

mount -o ro /dev/ubuntu-vg/root /mnt/Ubuntu14.10/

Однажды там, я могу начать работать над своим изображением, как будто это было устройство (/dev/ubuntu-vg/root) так же, большая часть программы восстановления просит, чтобы устройство восстановилось с как вход .

Восстановление инструментов

я попробовал три программы восстановления, Extundelete, ext4magic и Photorec. Этот последний восстановил большинство .eCryptfs файлов

  1. , Photorec

Здесь является инструкциями начать с photorec (кредиты к @Germar)

wget http://www.cgsecurity.org/testdisk-7.0.linux26-x86_64.tar.bz2
tar xvjf testdisk-7.0.linux26-x86_64.tar.bz2
cd testdisk-7.0
sudo ./photorec-static /d /home/victor/Downloads/recovery_folder /dev/ubuntu-vg/root

посмотрите ниже:

enter image description here

  1. Extundelete

Extundelete не был так же хорош как Photorec, но можно дать ему попытку. На Вашем liveUSB, загруженном Ubuntu, удостоверьтесь, что Вы активировали репозитории вселенной, и затем работали:

apt-get install extundelete

тогда cd в папку , где у Вас есть много пространства (восстановленные файлы будут скопированы там), и выполняет эту команду (где /dev/ubuntu-vg-root раздел, Вы хотите, восстанавливают файлы с, не должен быть смонтирован , или только для чтения самое большее!!!):

extundelete /dev/ubuntu-vg/root --restore-all --after `date -d 'Aug 16 02:35' +%s`

можно попытаться ограничить программу, чтобы восстановиться с определенной папки (--restore-directory) или ограничить файлами, удаленными после определенной даты (--after), видеть весь опции .

команды

После конца программы, искать восстановленные файлы с [1 188] ECRYPTFS_FNEK_ENCRYPTED.XXXXX на имя. Чем больше Вы имеете, тем более счастливы Вы.

можно читать этот парень и эта статья , кто у обоих была подобная проблема.

я personnaly не нашел много зашифрованных файлов, и весь из имеет очень небольшой размер.

Дешифруют восстановленные файлы

, Относятся к этому потоку, чтобы помочь мне заняться этой последней проблемой: https://askubuntu.com/questions/636764/ecryptfs-mount-wrong-fs-type-bad-option-bad-superblock

Это - ответ Wiki, улучшите его!

0
ответ дан 17.04.2019, 22:48
  • 1
    пошлите этот ответ знать то, что я сделал до сих пор. Спасибо. – Volodymyr Bilyachat 08.06.2015, 12:58
  • 2
    для шага восстановления файла имейте Вас, попробовал photorec – David Makogon 09.06.2015, 02:40

Необходимо сделать загрузочный живой usb и использовать человечность попытки не, устанавливают тогда dd с резервного копирования на ноутбук, и необходимо быть хорошими для движения. Это - то, если у Вас есть другой создающий резервную копию кроме того после ошибки. но всегда Вы действительно использовали флаг-rf, таким образом, он мог бы даже работать с тем, который Вы имеете

0
ответ дан 17.04.2019, 22:48

Теги

Похожие вопросы