Eu finalmente consegui restaurar o volume usando o Windows PE (ambiente pré-instalado). É importante notar que usar o TrueCrypt 64 bit no PE foi impossível para mim devido a um bug. Mas a versão de 32 bits funcionou bem.
Eu tenho um problema sério aqui: Meu computador não inicializa mais (trava na tela inicial do Windows), então eu tentei usar um Live CD do Ubuntu para acessar os arquivos e procurar por rootkits, ou pelo menos fazer backup de tudo .
No entanto, isso não é tão fácil quanto parece, porque tenho duas grandes especialidades de configuração:
Eu criei uma unidade usb Ubuntu inicializável que reconhece o ataque por padrão:
ubuntu@ubuntu:/dev$ sudo dmraid -ay
RAID set "isw_bibiifejd_Volume0" already active
RAID set "isw_bibiifejd_Volume0p1" already active
RAID set "isw_bibiifejd_Volume0p2" already active
RAID set "isw_bibiifejd_Volume0p3" already active
isw_bibiifejd_Volume0p1 é uma partição de restauração do Windows de 8 GB. Eu posso montar isso facilmente com mount /dev/mapper/isw_bibiifejd_Volume0p1 /mnt/win1 .
isw_bibiifejd_Volume0p2 é uma partição de 100M chamada "System Reserved" e foi montada automaticamente pelo Ubuntu. Eu acho que este é o lugar do bootloader (?).
isw_bibiifejd_Volume0p2 é minha partição do windows, criptografada com true crypt. fdisk diz o seguinte:
ubuntu@ubuntu:/dev$ sudo fdisk -l /dev/mapper/isw_bibiifejd_Volume0p3
Disk /dev/mapper/isw_bibiifejd_Volume0p3: 183.6 GB, 183617154048 bytes
255 heads, 63 sectors/track, 22323 cylinders, total 358627254 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 131072 bytes / 393216 bytes
Disk identifier: 0x3ec32997
Disk /dev/mapper/isw_bibiifejd_Volume0p3 doesn't contain a valid partition table
Eu estava tentando montar o isw_bibiifejd_Volume0p3 com o truecrypt, mas recebi um erro:
ubuntu@ubuntu:/dev$ sudo truecrypt -t /dev/mapper/isw_bibiifejd_Volume0p3 /mnt/win3
Enter password for /dev/mapper/isw_bibiifejd_Volume0p3:
Enter keyfile [none]:
Protect hidden volume (if any)? (y=Yes/n=No) [No]:
Incorrect password or not a TrueCrypt volume.
Então tentei este comando, pois minha partição é uma partição totalmente criptografada:
ubuntu@ubuntu:~$ truecrypt -t --mount-options=system /dev/mapper/isw_bibiifejd_Volume0p3 /mnt/win3 Enter password for /dev/mapper/isw_bibiifejd_Volume0p3: Enter keyfile [none]: Protect hidden volume (if any)? (y=Yes/n=No) [No]: Error: Partition device require
O que isso significa? O Google não sabe nada sobre isso.
A minha abordagem para montar o verdadeiro volume da cripta está correta? Existe alguma outra maneira?