Primeiro, você nunca deve montar o seu disco de leitura / gravação durante a recuperação.
Então você pode copiar o dispositivo descriptografado (em /dev/mapper/foo-crypt
) para um dispositivo não criptografado se você tiver algumas ferramentas que só funcionam com discos reais. Para os usuais utilitários de linux /dev/mapper/foo-crypt
), tudo bem.
Em seguida, testdisk e photorec são boas escolhas e, se você precisar de algum documento de texto importante, pode até mesmo tentar com o dd e o grep cortando partes diferentes da imagem e tentando encontrar as informações.
A boa notícia é que a maioria dos dados provavelmente ainda está lá. A má notícia é que os nomes de arquivos e diretórios geralmente desaparecem, o quanto pode ser recuperado depende do seu sistema de arquivos. A abordagem clássica do Windows era (com FAT32) para substituir o primeiro byte do nome do arquivo por 0, portanto os nomes dos arquivos estavam quase intactos. ext2 / 3/4 destrói inodes completamente até onde eu sei. Então, você provavelmente não encontrará esses metadados, mas ferramentas como testdisk devem ser capazes de extrair formatos de arquivo que eles conhecem dos dados brutos da partição.
Você pode restaurar a estrutura de diretório, se encontrar algum arquivo que a contenha. Procure, por exemplo, o banco de dados locate (1), índices de mecanismos de busca de desktop, entradas de arquivos recentes no gnome / kde / programas diferentes, etc.
Você provavelmente terá que classificar os arquivos restaurados na própria estrutura de diretórios encontrada.