덮어쓴 LUKS 파티션을 복구할 수 있는 방법이 있나요? 다음 상황을 고려하십시오.
나는 완전히 LUKS로 암호화되고 일부 (중요한) 데이터(내 경우에는 이미지 및 비디오)가 있는 ext4 파일 시스템을 포함하는 (외부) 하드 드라이브(SSD가 아님)를 가지고 있습니다. 비밀번호는 알려져 있습니다. LUKS 헤더의 백업이 없습니다.
이제 실수로 해당 드라이브에 새 LUKS 파티션을 만들고(이전 파티션 덮어쓰기) 그 안에 새 ext4 파일 시스템을 만들었습니다. 그런 다음 일부 새 데이터를 복사했습니다(제 경우에는 노트북에 있는 일부 백업 데이터, 160GB(외장 드라이브 크기는 1TB)).
모든 데이터 또는 적어도 이미지와 비디오(파일 이름이 없을 수도 있음)가 포함된 이전 LUKS 파티션을 복구할 수 있는 방법이 있습니까?
편집: 추가 질문
마지막 작업을 비트 단위로 복원하는 방법이 있습니까(예: 새 파티션으로의 데이터 전송, ext4 파일 시스템 생성 및 LUKS 볼륨 생성)?
디스크 표면의 자기 구조를 분석하면 물리적인 수준에서 이러한 반전이 가능할까요? 법의학 전문가가 이런 일을 할 수 있나요?
이 상황에서 법의학 전문가가 시도할 수 있는 다른 유망한 접근 방식이 있습니까?
이미 말했듯이 이전 볼륨의 LUKS 헤더를 백업하지 않았습니다. 그러나 Frostschutz가 지적했듯이 사고 이전에 이전 볼륨을 열어두고 재부팅하지 않은 경우 헤더가 메모리에서 발견될 수 있습니다(그러나 제 경우에는 재부팅했습니다). 제목을 검색할 수 있는 다른 곳이 있나요? 나는 보통 pmount 도구를 사용하여 이전 볼륨을 마운트합니다.
답변1
헤더 백업 없이는 기회가 없을 것 같습니다.
이 비밀번호는 LUKS 헤더를 사용할 수 있고 비밀번호가 키 슬롯에 포함되어 있는 경우에만 유용합니다. 그것 없이는 볼륨 키를 복원할 방법이 거의 없습니다.
LUKS 설계의 일부는 LUKS 헤더가 (백업과 함께) 제거되면 법의학적으로 컨테이너에 액세스할 수 없다는 것입니다.
답변2
LUKS 헤더가 손상되고 LUKS 컨테이너가 열리지 않은 경우(사고로 인해 다시 시작되지 않았으며 dmsetup table --showkeys새로 생성한 컨테이너가 아닌 원래 컨테이너가 여전히 남아 있는 경우) 암호화된 데이터를 복구할 수 없습니다. 그것은 사라진다.
남은 것은 암호화되지 않은 이전 데이터를 복구하는 것입니다(암호화할 때 드라이브가 지워지지 않은 경우).
타사 소스에서 데이터를 복구하는 것 외에도 해당 이미지와 비디오의 원본 소스에 따라 카메라 SD 카드 또는 다른 것에서 일부 데이터를 복구할 수 있습니다. 마찬가지로, 다른 사람을 위해 복사했거나 외부 드라이브에 넣기 전에 내부에 저장한 경우 거기에서 뭔가를 찾을 수 있습니다.
그러나 큰 기대는 하지 마십시오. SSD 복구 가능성은 희박합니다(TRIM의 여유 공간 정리로 인해).
기본적으로 백업에서 복원하느냐 마느냐의 문제입니다.