» нужно восстановить MFT

вопрос к уважаемому Antech
после долгого штудирования всей возможной инфы пришел к выводу что возможно вы мне сможете чемто помочь
суть проблемы: отформатировал быстрым форматированием раздел D. до этого он был зашифрован прогой DiskCryptor. на сколько я понял мне нужно восстановить MFT далее смонтировать диск и уже потом восстанавливать данные. сможете помочь?

wukigek
На диске ничего восстановить уже не получится, если он зашифрован.
Вопрос к разработчикам DiskCryptor
Сможет ли он работать с физическим диском чтобы подсовывать расшифрованные сектора другим программам восстановления или сделать посекторную копию на другой диск с расшифровкой данных.
Я бы попытался повторить ситуацию на маленьком диске с ненужными данными, и отработать методику восстановления после форматирования. Прежде чем заниматься пациентом.
Но просто так тратить на это время, нет ни какого желания.
Наличие исходного пароля/ключа для DiskCryptor - строго обязательно, иначе и дергаться бесполезно.

wukigek
Antech тут давно не было видно, попробуйте спросить у 9285 или Alex_Green в этой теме
http://forum.ru-board.com/topic.cgi?forum=84&topic=5006&start=220#lt

Чем они помогут, если все зависит от программы DiskCryptor.
Которой редко кто пользуется.

Вымогатели, которые им шифруют диски на компах своих жертв.
Настоятельно не рекомендуют вносить на диск какие либо изменения или форматировать. Чтобы DiskCryptor смог его при монтировать.
Наверное не зря.
Нужно понимать по каким признакам шифровальщик воспринимает зашифрованный диск.

Собственно нужно запустить DiskCryptor выбрать диск и если он поймет что диск шифрован - ввести пароль.
А затем на травить на диск рековери программы. Которые найдут все не тронутые форматированием файлы.

Если шифровальщик не при монтирует диск, то и сделать ни чего не удастся.

Опять же нужно сделать образец подобного зашифрованного раздела, и посмотреть как выглядит его начало в зашифрованном виде. Поиграться перенося сектора из начала образца на отформатированный раздел.
Но если в изменённом форматированием начале хранился хешь ключа, то ничего не удастся сделать.
Дальше уже смогут помочь программисты, которые должны разобрать открытый код шифровальщика, чтобы понять где чего лежит и затрагивает ли форматирование критичные структуры.
Обычно, все сектора раздела зашифрованы начиная с первого, и найти там что-то разумное чтобы поправить - не реально. По крайней все шифрованные диски которые попадались на восстановление, выглядят, как сплошной мусор. О восстановлении чего либо без расшифровки содержимого секторов, можно забыть.

tomset
Как с вами можно связаться? пароль конечно же у меня есть. хотел бы обсудить по разработке методики. вдруг что и получится

wukigek
Так я вроде все соображения изложил.
И написал что нужно делать.
Дальше уже идет конкретная работа, по выяснению всех тонкостей в конкретной ситуации.
Обычно моя работа заканчивается на вычитывании сбойного зашифрованного раздела. Пароли мне не дают. Что было бы странно. Раз человек шифрует данные, значит ни кто из посторонних не должен их видеть.
В вашем случае диск не сбойный, а переписаны часть структур, которые зашифрованы. Понять в них что-либо ни какой программой кроме DiskCryptor невозможно. Если он не монтирует раздел, и перенос заголовка от образца не помогает. То ловить уже нечего.
Для просто экспериментов без оплаты работы у меня нет времени.
Редкие случаи в целом нет смысла изучать. Вероятность решения низкая. Знания эти в будущем вряд ли понадобятся. Таких случаев 1 раз в 10 лет.
Оптимально обратиться к спецам которые специализируются только на шифровании.
На этом форуме таких не встречал.

Я стараюсь не браться за подобные случаи, как весьма проблемные в плане отношения с заказчиком. Люди использующие шифрование обычно крайне мнительные.
Ситуация чаще всего, как в сказке - пойди туда, не знаю куда, найди то, не знаю что.
Умудрился отформатировать то, что система в принципе не должна форматировать, как защищенный раздел. Смотреть данные нельзя, пароля не дам, чем шифровал, какой программой или версией - не помню. Но данные каким-то чудом восстанови.