So entschlüsseln Sie eCryptfs-Dateien, die mit photorec von einer beschädigten Partition wiederhergestellt wurden

761
A. Gh.

Ich habe photorec - zu einem vernünftigen Grad an Erfolg - verwendet, um Dateien von einer beschädigten Home-Partition wiederherzustellen, in der die Häuser der Benutzer mit Ecryptfs unter Ubuntu verschlüsselt wurden.

Die geretteten Dateien haben jetzt einen ähnlichen Namen wie f5345000.eCryptfs. Ich gehe davon aus, dass nicht alle Dateien des Originalsatzes wiederhergestellt wurden. Außerdem existiert die Verzeichnisstruktur nicht mehr.

Bei eCryptfs war die Verschlüsselung der Dateinamen aktiviert. Dies ist die Standardeinstellung für Ubuntu.

Angenommen, ich habe die eCryptFS-Passphrase. Ist es möglich, diese Dateien zu entschlüsseln? Wie geht das?

2
* Ist es möglich, diese Dateien zu entschlüsseln? * Wahrscheinlich nicht, aber ich bin kein Experte, also sollten Sie auf Antworten oder andere Kommentare warten. vor 5 Jahren 0

1 Antwort auf die Frage

0
Xen2050

eCryptfs benötigt normalerweise eine wrapped-passphraseDatei, in der der eigentliche Verschlüsselungsschlüssel gespeichert ist ("Mount-Passphrase"), oder Sie benötigen die Mount-Passphrase.

Wenn Sie über eines dieser ecryptfs-recover-privateVerzeichnisse verfügen, können Sie versuchen, "alle verschlüsselten privaten Verzeichnisse zu finden und bereitzustellen". Da Dateinamen verschlüsselt wurden, glaube ich nicht, dass sie wiederhergestellt werden konnten. Ihre Namen wurden in den Dateinamen verschlüsselt. photorecNormalerweise werden Dateinamen nicht wiederhergestellt (da es nur wrapped-passphraseschwierig ist, die Datei zu finden). Ich nehme an, testdiskich hatte kein Glück?

ecryptfs-recover-private Benötigt die Dateien in bestimmten Verzeichnissen:

  • verschlüsselte Dateien in .Private
  • wrapped-passphrasein $d/../.ecryptfs/wrapped-passphrase(wo $ d ist .Privateoder ein benanntes Verzeichnis)

Wenn Sie nicht angeben, welches Verzeichnis entschlüsselt werden soll (muss nicht ausdrücklich benannt werden .Private). Meine andere Antwort hier enthält weitere Informationen zu eCryptfs, einschließlich des allgemeinen Layouts.

ecryptfs-recover-privateist nur ein Shell-Skript. Wenn Sie also Schwierigkeiten haben, können Sie es manuell durchgehen, wenn Sie möchten. In einem Terminal sehen Sie es schnell 

less `which ecryptfs-recover-private`

Ich glaube nicht, dass für eCryptfs jede Originaldatei für eine erfolgreiche Entschlüsselung erforderlich ist (andernfalls würde das Löschen einer einzelnen Datei zu einem Problem werden), aber einige der wiederhergestellten Dateien werden möglicherweise abgeschnitten oder weisen auch fehlerhafte Daten auf, so dass sie definitiv nicht funktionieren.

Und wenn es mehrere verschlüsselte Dateien für mehrere Benutzer gäbe, hätten sie auch andere Mount-Passphrasen, würden aber photorecwahrscheinlich alle Dateien in einer großen Gruppe wiederherstellen. Das bedeutet, dass Sie versuchen, alle Dateien mit jeder anderen Mount-Passphrase nacheinander zu entschlüsseln, und prüfen, ob etwas funktioniert. Sicherungen werden auf jeden Fall bevorzugt!

Verwandte Probleme