Recuperando uma partição LUKS

Navegue suas respostas
4

Eu tenho uma unidade com 2 partições

  • primeiro é simples ext4
  • 2º é o LUKS criptografado.

A tabela de partições foi sobrescrita. Eu encontrei o começo da segunda partição, que eu preciso recuperar, assim: 

# hexdump -s 400000m -C /dev/sdc | grep LUKS
61d3dec850 79 c8 81 6d e5 4c 55 4b 53 40 49 aa 29 df de d7 |y..m.LUKS@I.)...|

Além disso: 

# losetup -o 0x61d3dec850 -r -f /dev/sdc
# losetup -a
/dev/loop0: [0005]:477209 (/dev/sdc), offset 420166420560

Até agora, este problema aparece: 

# cryptsetup luksOpen /dev/loop0 luksrecover
Device /dev/loop0 is not a valid LUKS device.

É um offset errado? Devo procurar pelo número mágico 0xEF53 identificando ext4 como indicado aqui ?

É uma unidade de 1TB, então, por favor, preciso de um conselho que não force a varredura de toda a unidade novamente (por exemplo, testdisk , que parece não ter opção de iniciar em um deslocamento especificado para economizar tempo na digitalização).

P.S. Esta questão parece estar intimamente relacionada, mas não corresponde .

    
por hexedone 06.01.2015 / 22:41

1 resposta

3

dd if=/dev/mapper/storage2-crypto bs=16 count=1 2>/dev/null | 
  od -t c -t x1
0000000   L   U   K   S 272 276  
dd if=/dev/mapper/storage2-crypto bs=16 count=1 2>/dev/null | 
  od -t c -t x1
0000000   L   U   K   S 272 276  %pre% 001   a   e   s  %pre%  %pre%  %pre%  %pre%  %pre%
         4c  55  4b  53  ba  be  00  01  61  65  73  00  00  00  00  00

 001   a   e   s  %pre%  %pre%  %pre%  %pre%  %pre%
         4c  55  4b  53  ba  be  00  01  61  65  73  00  00  00  00  00

Isso é o que parece no meu sistema. Consulte o link (página 6)

Os primeiros seis bytes devem ser os mesmos, provavelmente os primeiros oito e provavelmente os primeiros 16+. Você encontrou uma string com LUKS , mas obviamente a errada, pois LUKS@I não são os bytes mágicos.

Procure os dados corretos; isso deve lhe dar a posição correta.

    
por 07.01.2015 / 03:51

Tags

Usando o SLURM sem um recurso não pode montar o drive usb [closed]