» SecurStar DriveCrypt Plus Pack

reversecode

Цитата:

т.е. затерли свои ключи?

Затёр.

reversecode

Цитата:

процедура восстановления затертого mbr должна быть в хелпе утилиты

В MBR ключ хранился - его уже не восстановишь

ferrarievich
BootAuth0-3 это, насколько я помню, обычные bmp'шки с экрана ввода пароля.

Если у вас нет забэкапленого хранилища с ключом или экспортированного ключа, то доступ к своим данным вы уже не получите.

в общем то говоря там ключи не совсем в mbr хранятся
mbr 512 байт
а ключи хранятся дальше
поэтому нужно восстановить только 512 байт,
надо отрезать от new_mbr 512 байт и записывать поверх mbr
ну и вероятность восстановления 50/50

reversecode

Цитата:

в общем то говоря там ключи не совсем в mbr хранятся...

В загрузчике виндовом? Вернее в его замене?

гуглил тут свой вопрос, вроде писали что fix mbr не затереть загрузочную область криптованную(ключи) DCPP.
заблуждение?

подсобите лучше по действиям

reversecode
Так ведь ferrarievich сделал "bootrec /fixboot".


Добавлено:
ferrarievich

Цитата:

гуглил тут свой вопрос, вроде писали что fix mbr не затереть загрузочную область криптованную(ключи) DCPP.
заблуждение?

fix mbr не затёр, а вот "bootrec /fixboot" 100% затёр (рад буду ошибиться)!

mbr он длинный
но винда юзает только 512 байт
dcpp юзает больше, смотрите на размер new_mbr
и насколько я помню mbr dcpp другой чем стандартный
поэтому его восстаналивать надо отрезая от new_mbr что в комплекте dcpp,
вот отрезать первые 512 байт и записать в mbr,
и тогда 50/50

но я давно реверсил этот new_mbr, возможно он уже поменял свою структуру

Жуть с системой отрезаний. Видимо собственно ручно син не возможно сделать ? И еще момент я тут на кону клацал декрипт хдд но правда сделал минут 5.. Но при загрузке после ввода пароля, сообщалось о том что система декриптет мол частично. Может это к лучшему в моей ситуации? Подскажите Что делать пожалуйста!

Цитата:

Подскажите Что делать пожалуйста!

прочитать то что я написал, и сделать это.
с вероятностью 50/50 восстановите свои диски.

то что диск закриптован не полностью не имеет значения.

вот смотрю в старый new_mbr с 3. какойто версии
там заголовок 512 совершенно другой,
потому что mbr не стандартный
а дальше уже тело лоадера где и ключи и процедуры расшифровки до момента когда поднимется sys драйвер


а вообще, после установки dcpp и установки ключей,
надо делать рековери дискету или cd диск,
там в мануале черным по белому написано

Не совсем понял что именно сделать? Найти какой то файл? А где именно? Дело в том что. Не кодео и знаниями по реверсу не обладаю.

такие знания и не нужны
вам нужно взять инсталляшку DCPP которую вы ставили
и распаковав достать из нее файл new_mbr он около 100 кил, поидеи должен быть такой.

потом взять какой нибудь WinHEX и отрезать от начала того new_mbr первые 512 байт,

далее нужно ваш диск на котором полетел mbr, подключить к другому ПК,
и какими нибудь умными утилитами(хз гуглите или можно тем же WinHEX если с умом)
записать эти отрезаные 512 байт на место MBR в вашем винчестере что подкючили(а не на том что загрузились, а то еще один mbr затрете)

далее соеденяете свой винчестер опять к тому ПК где он был, и пытаетесь загрузится с него.
если ваш bootauth и ключи остались живы, то он загрузится(спросив пароль или что у вас там было)
если bootauth мертв вместе с ключами, то он выдаст характеруню ошибку на инглыше.

reversecode благодарю за подобрую подсказку, мануал.

теперь просьба к другим участникам форума посодействовать более конкретно по утилитам

подскажите какие нибудь сборки загрузочные, где будет нужный софт для того чтобы подменить на измененный(модифицированный mbr, отрезанный) на испорченной винде.

я так понимаю, что без разницы, будет ли это жесткие диски или таже флешка, на которой будет этот mbr и где будут утилиты загрузочные

p.s. также не пойму где найти нынешний испорченный мбр файл в хдд который пытаемся реанимировать

reversecode
быть может вы за вознагрождение можете посодействовать в режиме реал-тайм, через мессенджер может или приват на форуме, пошагово что и как, т.к. я даже не представляю откуда вытащить mbr и куда потом отрезанный модифиицированны мбр сувать в испорченном харде.

нет спасибо, у меня своих дел хватает

да и там не очень сложно, почитайте разберитесь
как минимум одну утилиту я вам посоветовал WinHEX
на форуме она есть и описание работы с ней тоже разберетесь

однако, вопрос, где в исрченном хдд найти mbr ? или мне надо сначала сделать инсталляцию DCPP и потом вытащить newmbr, через хекс редактор отрезать оттуда первые 512 байт и закинуть на испорченном хдд этот файл с именем mbr, но вопрос куда именно заливать его ? в корень диска? точнее в загрузочной области, это который субдиск там светится, где DCPPBoot папка с картинками лежит, верно? и имя mbr просто у файла должно быть нового ?.

и нужен ли именно нулевый mbr ?
т.к. вот на ноуте тоже dcpp стоит той же версии что на десктопе была.
файл вытащил с папки DCPP из програм файлс, там весит оно 80 байт.

вот как оно выглядит в винхекс редакторе
еще бы чуть подробнее в какую сторону удалить байты или как там

инсталлировать dcpp не обязательно, достаточно его распаковать, там внутри со всеми файлами должен быть new_mbr
хуже если его не будет, значит new_mbr запихнули куда то в какую то dll или exe который вместе с распаковаными файлами, и его надо будет искать...

mbr на hdd искать должно быть просто, почитайте за утилиту winHex она все уже должна уметь, правда она работает из под виндовса

из под DOS я для редактирования mbr итд пользовался diskedit

чуть обновил предыдущий свой пост , или это файло 80 байт не подходит и надо именно НУЛЕВЫЙ который ?

просто не понимаю убирать 512 байт надо слева направо построчно ?

то есть делаю следующее
1/ на ноуте ставлю программу, достаю new mbr - убираю как мне напишут (в какой последовательности) 512 первых байт и
2/ закидываю это файло на флешку-гружусь с лив сиди и вопрос КУДА ИМЕННО закидывать это файло модифицированное мбр ? в корень поддиска где папка dcppboot ?

512 байт нужно не убирать. а взять бинарно, первые 512 байт с файла new_mbr
и сохранить в файл какой нибудь mbr.bin
именно бинарно! что бы при открытии в том же WinHEX этого mbr.bin он виделся так же как и new_mbr


далее этот файл(mbr.bin) нужно записать в MBR ДИСКА!
не в папку не в файл не.... а в MBR диска!

вообщем прежде чем игратся с записью в MBR ДИСКА, найдите какой нибудь ненужный HDD и поиграйте с ним

ferrarievich

Цитата:

просто не понимаю убирать 512 байт надо слева направо построчно ?...

Скачайте лайвсиди, установите его на флэшку, скопируйте на эту флэшку new_mbr (его возьмите или из папки проинсталлированой программы или из распакованного дистрибутива - который, наверное, должен быть той же версии что и программа которой вы шифровали диск), загрузитесь с лайвсиди и откройте в WinHEX new_mbr и зашифрованный диск - выделите в new_mbr и в открытом диске первые 521 байт, а затем скопируйте их (521 байт) из new_mbr на диск.

reversecode

Цитата:

вообщем прежде чем игратся с записью в MBR ДИСКА, найдите какой нибудь ненужный HDD и поиграйте с ним

IMHO ещё лучше поиграться с виртуальным диском в той же VMware.

Цитата:

IMHO ещё лучше поиграться с виртуальным диском в той же VMware.

WildGoblin
с вмварей знаком , стоит она на ноуте, откуда пишу щас.
думаете, что я могу этой заменой мбр хуже сделать ? безвозвратно ?или наверное хуже некуда)

вы можете затереть не MBR а что то другое относящаеся к DCPP, и вот тогда на 100% прощайтесь с инфой,
что бы не затереть то что не нужно, найдите истинный MBR - потренировавшись на дисках VMWare

да кстати проверить если ли ключи и лоадер от DCPP, вы можете посмотрев содержимое HDD после MBR, там слова должны быть loader чего то там, вообщем то же что и в new_mbr

ок, образ ливсиди который порекомендовал уважаемый WildGoblin записал на флешку.
щас буду пробовать. на виртуалке прежде всего. и после перейду на нашего потерпевшего.
п.с.
Цитата:

да кстати проверить если ли ключи и лоадер от DCPP, вы можете посмотрев содержимое HDD после MBR, там слова должны быть loader чего то там, вообщем то же что и в new_mbr

единственное сие не совсем понял.
проверить есть ли фактически клюбчи и лоадер от DCPP (имеете в виду, на месте ли они или затерты ли?), то есть при редактировании HEX редактором в mbr файле на "потерпевшем хдд" я увижу после 512 байт слова лоадер и тд ? или поправьте чуть .

просто вся эта тема нова . поэтому разбираюсь как сугубо новичок .

да, на затертом HDD должен поидее быть лоадер. если не затерли.
но там ньюанс, нужно правильно уметь общатся с диском, потому что после 512 байт MBR в разных режимах работы с диском можно прыгнуть на разные места и просто не попасть на то место где должен быть или есть лоадер.

но лучше когда вернете уже MBR и после загрузки уже будет видно, остался жив лоадер с ключами или тютю

Добавлено:
кстати я смутно помю, но в своем mbr, dcpp кажется хранит точки положения до которых диск закрипчен, тоесть в вашем случае это имеет место быть,
так что мороки даже если восстановите mbr, будет не меньше

но это если я правильно помню

мороки в каком плане ? то есть я не попаду на свой шифрованный диск ? т.к. все файлы, ключи у меня там, для того чтобы декриптовать и снова криптануть свой жеский диск , если вы об этом.

просто по поводу дополнительной мороки. куда ж круче ?
50 на 50 меня вполне устраивало, а тут чтобы до 50 дотянуть %, еще что то добавится сверху? )

вы попадаете на свой шифрованый диск, но DCPP не сможет опознать конец шифрованых данных, вы же не полностью зашифровали диск.

это все равно что вас пустить в темную комнату и не сказать где в полу дыра,
может и пройдетесь и вернетесь, а может и в дыру провалитесь))

вообщем не заморачивайтесь над этим, восстанавливайте MBR и будущее все покажет.

да да, вот вот приступаю на виртуалке стоит уже DCPP, щас нарушу там bootrec mbr, дабы получить такую же ситуацию. и загружусь с ливсиди, и будем"резать" .
p.s. просто вы бы чуть четче объяснили, пока я жду, - правильно ли я вас понял, что часть диска вполне вероятно не будет раскриптована?

п.с. отпишусь сегодня о результатах. вот вот приступлю на доноре - виртуалке, и затем перейду к больному.

вот на витруалке и проверте все мысли
установите и закрипуйте половину диска,
а дальше сравните new_mbr(512 байт) с MBR на диске,
если отличатся не будут, значит точки криптования хранятся не в MBR а в LOADER'e.

за одно и посмотрите как там loader видится на виртуальном диске,
где там ключи итд итп

дело в том что у меня уже закриптованна полностью виртуальный образ винды с предзагрузочной авторизацией, вот тут и стартую эксперемент с bootrec fixboot и с последующим редактированием new_mbr

я конечно не знаю даже как чувствовать себя, я так понял я первый и видимо последний кто с дуру , зная что у него предзагрузочная авторизация от DCPP сделать bootrec fixboot,fixmbr ))

коль у меня первый опыт как я вижу.

Добавлено:
у меня истерика.
не могу в виртуалке запустить загрузочный диск вин7, дабы войти в консоль восстановления, с целью ввести bootrec fixmbr
флешки загрузочные не видет ни про загрузке виртуалке ни в системе

p.s. как выяснилось проблема с флешками загрузочными и тд пробелма в виртуалке...
попробуй поэкспререментируй тут ))

Добавлено:
вообщем думаю не ошибусь, приступлю к пациенту.

п.с. камрады, подскажите, дабы не сделать к 100% потерю инфы, могу я мбр область пациента как то забекапить предварительно на случай если отрежу слишком много или замену не те байты из newmbr ?

Добавлено:

Цитата:

выделите в new_mbr и в открытом диске первые 521 байт, а затем скопируйте их (521 байт) из new_mbr на диск.

и только заметил совет WildGoblin
так все таки 512 или 521 ?

Добавлено:
подскажите в ВинХекс как удалить запис выбранную и записать свою ? не дает редактировать

Добавлено:
кнопка удалить неактивна

посмотрите как оно выглядит, то что я копирую

вот что надо скопировать и то что пытаюсь скопировать
http://img440.imageshack.us/img440/3006/27010008.jpg

и вот когда вставляю, как выглядит оно
http://img703.imageshack.us/img703/7364/60389652.jpg

Добавлено:
Пока колепаюсь с зпгрузочной областью и хека редактором, вспомнил в связи с чем я намудрил с бутреек фиксбут и бутрек мбр. Поставил два ssd , в Биосе выставил рейд. При загрузка форматнул оба ссд в рейд 0. Далее вышло окошко презагрузочной авторизации dcpp, ввел пароль-ввошел в виндоус и далее зашел в управление дисками, и уже и там форматеул сад диск единый и там внизу что то было из серии "сделать тут область mbr", клацнул галочку. Пошел перегружатся и после успешного ввода пароля dcpp при загрузка винды , система шла в режим восстановления( что то такое если не ошибаюсь). Поэтому и стал химичить со сменой букв дисков и с бутрек фиксббут. Мбр.

А сейчас головняк с этими хекс редакторами, копи паст тут крайне замудренно работает.

Может тут еще какой этап сложностей или нет? Помогите!, осень хочется сделать максимум для возврата диска!

ferrarievich

Цитата:

так все таки 512 или 521 ?

Я очепятался - правильно 512.


Цитата:

и вот когда вставляю, как выглядит оно

Это не правильно - нужно в хекс копировать.
Не ctrl+c, а правой кнопкой мыши - буфер обмена - дальше не помню.

быть может, кто то может посодействовать и для поколения и в т.ч. для меня, перевести на ру язык, ниже приведенную инструкцию

p.s. общался со службой поддержки в течении недели, нон-стоп, вот какую инструкцию мне в итоге смастерили, пошаговую:


Here the detailed instructions from the developer, step by step:

1: Install the SAME version of DCPP on another computer and install
Bootauth on it. Encrypt the drive and start the decryption

2: Save the first PHYSICAL sector of the boot hard drive on the other
computer with a file. I recommend to use a Windows program called HxD
for this.

3: Transfer the physical sector (512 bytes)on the hard drive with the
lost MBR overwriting the restored MBR at physical sector #0. He will
have to use a linux or DOS CD with appropriate tools for this
operation, or put the drive into another machine and run HXD
paste the data over the top of the existing MBR.

4: Scan from the physical start of the disk looking for the sector
with the following hex bytes(in ascending order)

"22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 00 00 00 00"

if the above can't be found he should search for:

"22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 01 00 00 00"
then:
"22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 02 00 00 00"
finally
"22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 03 00 00 00"


When the place on the disk is found identify the SECTOR offset of this
data. if the offset to the data is a BYTE offset the value will be
wholly divisible by 512 and it should be devided by 512. If it is a
SECTOR number then the number should be left as it is.

The SECTOR number needs to be expressed in hex. For example Sector
0x000740EF might be identified as the place where the above bytes were
found. Now the hex SECTOR number should always have at least eight
digits. so if the sector number is written as (0x) 740EF then add
leading digits so there are at least 8 digits. IE (0x) 000740EF [This
is VERY important]. Now write each pair of digits in REVERSE order,
so we get EF 40 07 00. Do NOT reverse the order of the DIGIT PAIR
which must remain the same. Basically we are dealing with "little
endian" computers which store larger values in low-high order in
ascending memory locations.

Now, on the NEWLEY restored MBR boot loader at SECTOR #0, at offset 10
decimal, (0x0A in hex) enter there - the four pairs of HEX digits,
in the newly reveresed order including any leading zero bytes. Before
these digits their should be 80 80 80 80 (but not on all versions so
don't worry if not)

Save out the sector now modified and reset the computer. If everything
has worked then the bootauth screen should appear.


Note that I cannot offer any advice on linux or DOS tools to do the
search or update the data. He needs to find someone local who knows
what they are doing. HOWEVER he can put the hard drive into another
Windows machine, and use a free program called HxD to do all he needs
including the searching. Note that offsets are expressed in BYTE
offsets so he will need to divide his hex value by 0x200 ( in calc hex
mode) or 512 in calc DEC mode, before reversing the digits.

Windows 7 calc can be placed in programmer-> HEX mode for entering the
offset and dividing down. Remember to enter 200 (Hex) for the
division when in HEX mode, which is equal to 512 decimal, the size of
one disk sector.

To access physical hard drives HxD must be started as an
administrator. BE SURE YOU ARE ACCESSING THE CORRECT HARD DRIVE with
HxD If he installs the drive in the machine he got bootauth from then
bootauth should be uninstalled on that machine first. HE will then see
a standard Windows MBR on that machine, if he opens the wrong drive.