eCryptfs behält die aktuelle Mount-Passphrase in der Datei
/home/.ecryptfs/user/.ecryptfs/wrapped-passphrase
Es würde also funktionieren, nur diese Datei zu zerkleinern. Dann müssen Sie selbst mit dem Kennwort des Benutzers einen Brute-Force-Angriff durchführen, um die Dateien wiederherzustellen.