有没有办法恢复被覆盖的 LUKS 分区?考虑以下情况:
我有一个(外部)硬盘驱动器(不是 SSD),它是完全 LUKS 加密的,包含一个带有一些(重要)数据(在我的情况下为图像和视频)的 ext4 文件系统。密码是已知的。我没有 LUKS 标头备份。
现在我不小心在该驱动器上创建了一个新的 LUKS 分区(它覆盖了旧分区)和一个新的 ext4 文件系统。然后我复制了一些新数据(在我的情况下是我笔记本电脑的一些备份数据;160 GB(外部驱动器的大小为 1TB)。
有没有办法用所有数据或至少图像和视频(可能没有文件名)恢复旧的 LUKS 分区。
编辑:附加问题
有没有办法按位恢复最后的操作(即数据传输到新分区、创建 ext4 文件系统和创建 LUKS 卷)?
如果分析磁盘表面的磁性结构,也许这种逆转在物理层面上是可能的?法医专业人士能做到吗?
在这种情况下,法医专业人员会尝试其他有希望的方法吗?
如前所述,我没有备份旧卷的 LUKS 标头。但是,正如frostschutz 所指出的,如果我在事故发生前打开了旧卷并且没有重新启动,则可能会在内存中找到标题(但在我的情况下我确实重新启动了)。还有其他地方可以搜索标题吗?我通常使用 pmount 工具安装旧卷。
恐怕没有标头备份就没有机会。
仅当 LUKS 标头可用且在密钥槽中具有该密码时,该密码才有用。没有它,几乎没有办法恢复音量键。
LUKS 设计的一部分是,如果 LUKS 标头被擦除(以及任何备份),那么在取证上访问容器是不可行的。
如果您损坏了 LUKS 标头,并且 LUKS 容器仍未打开(由于意外未重新启动并且
dmsetup table --showkeys仍然具有原始容器,而不是您制作的新容器),则无法恢复任何加密数据。没了。这样就可以恢复旧的未加密数据(如果加密时未擦除驱动器)。
除了从第三方来源恢复数据 - 根据这些图像和视频的原始来源,您也许可以从相机 SD 卡或其他东西中恢复一些数据。如果您曾经为任何人复制它们,或者在将它们放在外部驱动器上之前将它们存储在内部,那么您可能会在那里找到一些东西。
但是不要抱太大希望,SSD 恢复的机会也很小(由于 TRIM 清理了可用空间)。
本质上,这是您从备份中恢复的情况,或者 - 不是。