Truecrypt – Undelete Wilders Forums de sécurité

Beaucoup de gens ont fait cela, et parfois ils sont capables de récupérer tout leur fichier de conteneur intact. Je n’ai pas le temps d’entrer dans les détails en ce moment, alors je vais vous suggérer d’aller à TrueCrypt forums et utilisez la fonction de recherche pour lire ce que les gens ont fait dans des situations similaires. En attendant, n’écrivez rien sur le lecteur qui contient le fichier supprimé ou vous risquez d’en écraser des parties. Si vous remplacez une partie de l’en-tête et que vous n’avez pas de sauvegarde, vous serez complètement vissé.

2) Utilisez un éditeur hexadécimal pour rechercher une chaîne tirée d’un entête de sauvegarde ou une copie de sauvegarde du fichier (si vous en avez un) afin de trouver le début exact du fichier perdu, puis bloquer une zone de la taille de votre fichier conteneur, l’enregistrer en tant que fichier et voir si cela fonctionne.


3) Recherche manuelle avec un éditeur hexadécimal – c’est long et fastidieux, mais il peut parfois réussir. Basé sur la taille de votre fichier par rapport à la taille de votre disque, cela peut ou ne peut pas être utile. Plutôt que de faire défiler manuellement tout le lecteur jusqu’à ce que vos globes oculaires tombent de leurs orbites, il existe des stratégies de recherche que vous pouvez utiliser pour le rendre un peu plus rapide, mais cela va tout de même être très difficile. Vous pouvez rendre votre travail beaucoup plus facile en effaçant tous les fichiers existants sur le disque et en les remplaçant par des zéros, tant que vous ne supprimez pas tout ce qui est déjà en espace libre. Après cela, vous allez simplement à travers le lecteur à la recherche de grandes zones de données complètement aléatoires, en espérant trouver l’un de la bonne taille que vous pouvez enregistrer en tant que fichier. Si vous obtenez exactement le droit, en particulier le début du fichier, il pourrait monter (sauf si l’en-tête a été endommagé). Si vous avez utilisé la version 6 ou supérieure de TC, vous pouvez être sûr que vous pouvez trouver le point de terminaison exact du fichier, même si le début est un peu incertain. (Si le fichier de votre conteneur était fragmenté, cette méthode ne fonctionnera probablement pas et, pour la sauvegarde, je prendrais une image du disque avant d’entreprendre ceci).

Si vous parvenez à monter le fichier, cela montre que l’en-tête est entièrement intact, ce qui est génial. Toutefois, si le corps du fichier conteneur a été endommagé ou est incomplet, vous devrez peut-être utiliser un logiciel de récupération de données sur le volume monté.

C’est presque la moitié du trajet! Il devrait être relativement facile de trouver un supprimé fichier de conteneur ce grand. Vous pouvez utiliser un éditeur hexadécimal tel que WinHex pour faire défiler votre lecteur à la recherche d’un grand bloc (140 Go) de données purement aléatoires qui ne contient aucun espace. Trouver le début, marquer le début du bloc, trouver le point de terminaison environ 140 Go au-delà de ce point (ceci suppose un fichier conteneur contigu, non fragmenté), sélectionnez le bloc et enregistrez-le sous forme de fichier. Vous pouvez faire la plupart de ceci avec la version d’évaluation de WinHex. Cependant, la version d’évaluation ne vous permettra pas d’enregistrer un gros bloc en tant que fichier, vous devrez donc acheter une licence si vous voulez terminer la procédure, ou trouver un éditeur hexadécimal freeware qui peut enregistrer un très gros bloc en tant que fichier.

L’astuce consiste à localiser le point de départ exact du fichier supprimé. Si vous êtes chanceux, il sera adjacent à du texte en clair ou à une chaîne de zéros, ce qui vous permettra de repérer facilement la discontinuité entre les deux types de données dissemblables. (Si nécessaire, vous pouvez utiliser un outil d’effacement pour remplacer tous les fichiers existants par des zéros afin de rendre cette partie plus facile). Si vous êtes malchanceux, point de départ sera adjacent à d’autres données apparaissant au hasard qui sont également en espace libre. Dans ce cas, vous ne pourrez pas trouver le point de départ exact du fichier perdu, ce qui signifie que votre en-tête sera incorrect et que votre mot de passe ne pourra pas monter le volume. Si vous ne parvenez pas à trouver le point de départ exact et si le fichier a été créé à l’aide de TrueCrypt version 6 ou ultérieure, vous pouvez toujours avoir une chance de récupération si vous pouvez localiser le point de terminaison exact du fichier. Dans ce cas, après avoir enregistré le bloc en tant que fichier, vous devez entrer le mot de passe trois fois. À la troisième tentative TrueCrypt utilisera automatiquement l’embedded entête de sauvegarde, qui est situé près de la fin du fichier. (Il mesure une distance spécifique à partir de la fin du fichier et suppose qu’il s’agit de l’en-tête de sauvegarde intégré). Après son montage, vous devrez peut-être utiliser des outils de récupération de données si le système de fichiers est endommagé en raison d’une taille de fichier incorrecte ou de données écrasées.