» SecurStar DriveCrypt Plus Pack

ferrarievich

Цитата:

но далее идет сбитая система,

Вот оно то самое, Вы умудрились зашифровать 2 TB данных...
А если какой-то физический сбой, то я в принципе не представляю, как восстановить данные... Как-то распарсить зашифрованные данные невозможно. Тут и без шифрования куча проблем возникает, но хоть как-то часть данных можно восстановить.

Итак, у Вас был один раздел (не считая 100 MiB Sstem Reserved) на харде типа поганого ушастого WD20EARS, --- да/нет...???...

А пока прочитайте рапорт SMART харда утилитой Victoria 4.46b/4.47 for Windows (она вроде есть на Live CD) или какой другой и покажите его. --- Хард 5 лет пылился и не работал..

А я пока проанализирую остальное и малость подумаю.

Tau_0
Так, у меня два хдд было. Один я вскрыл, с ним все ок.
Я с утра проснусь, четко изъяснюсь и скину актуальные 512байт и сигнатуры.

ferrarievich

Цитата:

ут ситуация странная. Я щас посмотрю есть ли у меня еще аналогичный хдд, ибо к какому то я находил доступ, но вроде это не этот. Тем не менее, ситуация с ним какая, до замены LBA0, я решил с него загрузился, далее ситуация

AND

Цитата:

посмотрите 512 байт правильно снятые с хдд http://rghost.net/7Tzxxlh98

Вопрос --- эти 512 байтов MBS, они с этого харда…???...
Потому, что ситуация очень любопытная

1. LBA сигнатуры 0 полностью совпадает с LBA сигнатуры в моей реконструкции.
Сравните значения в рамке Cyan
2. Далее следуют LBA сигнатур 1,2 и 3 См. значения в рамках: Magenta, Yellow и Key. И сравните со значениями LBA для четырёх сигнатур, что Вы сами нашли. Надо только добавить до восьми байтов незначащие нули и записать в little-endian.
CMYK Magenta, Yellow и Key.
См. картинку

2. Разбиения на разделы тоже совпадает.

3. Совпадают сигнатуры диска (или GUID - Globally Unique Identifiers) --- байты 01B8 - 01BB…!!!... См. на картинке они выделены красной рамкой.
Это вызывает крайнее изумление. Поскольку такого практически не может быть при наличии FF FF FF FFh = 4 294 967 295dec числа вариантов (даже на один больше).

Отсюда я делаю вывод, что это посекторные копии (точнее были ими ) одного и того же харда. Потому, что сами коды не совпадают совпадают. --- Ваш backup_512_1.8TB не DCPP V. 3.97.
См. картинку

Я не представляю, как можно забыть такие подробности… Видимо Вам ещё кто-то в этом деле помогал…???...

А пока вставьте backup_512_1.8TB вместо моей реконструкции. --- Очень любопытно узнать, что из этого выйдет.

ferrarievich

Цитата:

Так, у меня два хдд было.

Только что это прочитал... Зачем столько умалчивать это было...


Цитата:

Один я вскрыл, с ним все ок.  

Когда, чем и как вскрыли...???... --- У меня уже скоро крыша от общения с Вами поедет

Tau_0

Цитата:

Когда, чем и как вскрыли...???... --- У меня уже скоро крыша от общения с Вами поедет

там в DCPP, можно раскриптовать, а именно подрубить его к компа и загрузится с другого рабочего ХДД, ясен пень что криптованный хдд не будет виден, тут запускаем DCPP и ищем ключ (файл) и пароль, так, вот у меня два 2 террабайтника.
и вот один из них я всспомнил и нашел пароль.
со вторым ХДД это исключено. нету к нему шифрованного файла. поэому тут токо обойти все это.

щас скину данные по нему. я ж заранее отписал по этому делу ситуацию.

единственный момент, что я никак не найду сигнатур наших, ищет ищет.

собственно по поводу хдд, чтобы путанины не было.

мы собственно с ним и работали, как я понимаю, куда закинули два раза не совсем правильные 512 байт, и пошло закиливание.

ferrarievich

Цитата:

со вторым ХДД это исключено. нету к нему шифрованного файла. поэому тут токо обойти все это.

щас скину данные по нему. я ж заранее отписал по этому делу ситуацию.

вот его 512
http://rghost.net/69LKkz7YQ

единственный момент, что я никак не найду сигнатур наших, ищет ищет.

Внимательно рассмотрел эти 512 байтов... --- И где это Вы их такие взяли...???...

Дело в том, что я загрузил в два окна WnHex дампы сектов [0..511]. В первое окно загрузил файл для своей реконструкции ( DCPP_Modified 2 MBS Constr 2 _dev0_lba0), а во второе файл 512_9WM4.bin, который Вы так любезно выложили на обменник.

В WinHex расположил окна по горизонтали
Windows ===> Tile Horizontally
Для удобства побайтового сравнения

И получил следующую картинку

Совпадающие строки я маркировал/подцвечивал мажентой в обоих окнах.
Сделайте тоже самое и найдите мне хоть один отличающийся байт.

ЗЫ Вы хоть немножко думаете, когда мои посты читаете...???...
А то я пишу, как в песок…, --- Вы что-то своё потихоньку делаете, а я в полном недоумениии.

Tau_0
я чутк запутался, в связи с тем, что оперативно врубал оба HDD, оба 2ТБ, со вторым то я разобрался, остался только один )) про картинку выше да я понял, затупил с утречка, тоже самое заюзал, исправился, ситуация актуальная ниже.

http://rghost.net/6qKXxvYJh
вот я так помню это первоночальные мои 512 с харда.
щас записал их , при старте выдает Mission Operation System.

интереса ради еще вот такой записал
http://rghost.net/77TKLrw2q
выдало при старте с хдд - boothauth absent.

вот еще скрин сделал може тоже поможет
http://clip2net.com/s/3dKZWO9


по итогу я ни одно из этого не нашел!
22ACCD848842ADCECAB021ED1E3B58410100000
22ACCD848842ADCECAB021ED1E3B58410200000
22ACCD848842ADCECAB021ED1E3B58410300000
22ACCD848842ADCECAB021ED1E3B58410400000

ferrarievich

Цитата:

по итогу я ни одно из этого не нашел!

22ACCD848842ADCECAB021ED1E3B58410100000
22ACCD848842ADCECAB021ED1E3B58410200000
22ACCD848842ADCECAB021ED1E3B58410300000
22ACCD848842ADCECAB021ED1E3B58410400000

Во-первых я указывал, что надо искать записи с 0 по 3, а не с 1 по 4
См. ===>

Цитата:

22ACCD848842ADCECAB021ED1E3B584100000000
22ACCD848842ADCECAB021ED1E3B584101000000
22ACCD848842ADCECAB021ED1E3B584102000000
22ACCD848842ADCECAB021ED1E3B584103000000

Во-вторых, последовательность Hex байтов у Вас обрезана, --- справа не хватает Hex нуля в младшем полубайте (нибле). Последовательность байтов смотрим слева направо.

Я попробовал ввести Вашу первую последовательность, так у меня WinHex даже искать отказался…

А искать текстовые данные (ASCII коды) нельзя ибо это совсем другое. Да и нет там таких текстовых строк…

Проверьте ещё раз...

ЗЫ Можете несколько ускорить поиск, выставив условие поиска.
Cond.: offset mod 512 = 0

Но если там что-то есть, то у меня и без этого мигом находит…

Цитата:

ЗЫ Можете несколько ускорить поиск, выставив условие поиска.
Cond.: offset mod 512 = 0

попробовал, ниче не находит.
но диск реально шифрован в DCPP.

ferrarievich

Цитата:

попробовал, ниче не находит.
но диск реально шифрован в DCPP.

Возможно, что на харде область памяти, содержащая последовательности затёрта или разрушена…???...

Как только Вы устанавливаете DCPP в качестве загрузчика по Bootauch эти последовательности прописываются. Они есть всегда независимо от того зашифровано или нет…

Я просил Вас показать рапорт SMART, но так до сих пор его и не увидел…

При любых проблемах с данными (а также и без них) рапорт SMART следует смотреть в первую очередь.

Tau_0

Цитата:

Возможно, что на харде область памяти, содержащая последовательности затёрта или разрушена…???...

исключаю. т.к. делалось только fixmbr , fixboot. но эти обме комманды я проделывал на виртуалке и ваш файл спасал полностью предзагрузоч область.


Цитата:

рапорт SMART

http://clip2net.com/s/3dNwH50
http://clip2net.com/s/3dNwIc3
http://clip2net.com/s/3dNwKFA

Ваше мнение более авторитетно ув. Tau, без сарказма, но я бы исключил вариант железных проблем с HDD.

ferrarievich


Цитата:

но я бы исключил вариант железных проблем с HDD.

Да, теперь из рапорта SMART видно, что хард не виноват и совсем здоров...

Цитата:

выдало при старте с хдд - boothauth absent.

Потому последовательности и не находится…

Я думаю, что это Вы сами по простоте душевной их затёрли…
Интереса для, пришлите два дампа:
1. 10 (десять секторов), начиная с LBA = 2048
2. 10 (десять секторов), начиная с LBA = 206648

ЗЫ Не думаю, что это поможет, но я не понял..., --- каким вьювером контент backup_512_1.8TB просмотреть…???... ===>

Цитата:

интереса ради еще вот такой записал http://rghost.net/77TKLrw2q выдало при старте с хдд - boothauth absent.

....

....

....

вобщем казалось бы, я смирился, что
1. как я писал, у меня два Одинаковых моделей и обьема 2 террабайтника, оба криптованы.
2. сравнил ИД с тем, что я смог расшифровать и тем что не могу и увидел, что 5 лет назад я пытался всрыть тот диск, который я смог вскрыть(нашел пароль).
3. у второго диска никак не нахожу СИГНАТУР DCPP, тобишь я смерился, что криптовал его другим софтом (truecrypt?). т.к. сигнатур нет, и первые 512 байт странные, при загрузке системы выдает Missing operation system а не ввод пароля.
4. по итогу, я вот открыл DCPP с паролем давним, и увидал там след картину
http://clip2net.com/s/3e0eWPq (диск С это другой хдд, с которого пишу, с ним ок всё)
как видим, стоит галочка, то есть ключ подошел ? при этом нажав на свойства вижу странную инфу.
при клацанье на DECRYPT получаю следующее
http://clip2net.com/s/3e0fKte
5. по дискам
http://clip2net.com/s/3e0pHbi
http://clip2net.com/s/3e0s8hz

ну и на последок
6.
когда подрубаю второй хдд той же серии к которому подходит тот же ключ-файл и пароль, он не открывается
http://clip2net.com/s/3e0EstP
видимо DCPP ошибочно показывает тот хдд который я не могу раскриптить, путая его с этим хдд к которому этот ключ подходит, сорри за каламбур.
ибо он его не открывает щас, одновременно с нашим пациентом. а без пациента открывает успешно.


я в недоумении вообще епрст.

ferrarievich

Цитата:

3. у второго диска никак не нахожу СИГНАТУР DCPP, тобишь я смерился, что криптовал его другим софтом (truecrypt?). т.к. сигнатур нет, и первые 512 байт странные, при загрузке системы выдает Missing operation system а не ввод пароля.

Житие мое...


Цитата:

я в недоумении вообще епрст.

Забудьте и не мучайте себя и окружающих.

WildGoblin
не спешите, авось кто посодействует.

ferrarievich

Цитата:

....

Цитата:

....

Цитата:

....

Вы хоть собственные посты пустым беспредметным кудахтаньем не трите…

Цитата:

1. 10 (десять секторов), начиная с LBA = 2048
2. 10 (десять секторов), начиная с LBA = 206648

Уже давно посмотрел я эти секторы и вижу, что они зашифрованы
На правильном (незашифрованном харде там хранятся VBR (Volume Boot Record) тома. Они зашифрованы, поэтому к тому не подобраться.


Цитата:

исключаю. т.к. делалось только fixmbr , fixboot.

Нет, не только… это делалось…
Убил кучу времени… Раньше отписаться не получалось. --- Быстро только котята плодятся…

Но у себя на подопытном кролике прогнал эти две команды в разных вариациях. Наиболее интересны:

1. fixmbr на незашифрованных разделах приводит к тому, что просто переписывается загрузчик DCPP загрузчиком Windows 7. Как следствие при загрузке DCPP сходу не загружается, идёт простая загрузка Windows 7. При этом ВСЕ разделы и информация на них доступны...
Команда fixboot не оказывает (у меня) никакого влияния…

Загрузчик DCPP элементарно восстанавливается в самой DCPP. Просто после авторизации в DCPP выбирается Bootauch (у меня хранилище нужных ключей в надёжном месте…). После этого загрузчик восстановлен. Не надо его даже реконструировать согласно Ководству…

Ессно, что последовательности [0..3] остаются на месте…

2 . Зашифровал раздел (диск C: ) с Windows 7. При этом раздел System Reserved не затрагивался.
См. Картинку

Видно, что раздел в синей рамке (System Reserved) не зашифрован, а зашифрован раздел в красной рамке с Windows 7. WinHex не может распарсить зашифрованную VBR (загрузчик NTFS) и пишет знак “?”.

Сравните с собственной картинкой http://clip2net.com/s/3e0s8hz
У Вас наоборот...
Вот меня пока интересует (я кое-что подозреваю, но хочу знать точно), как Вы этого добились..???...


Цитата:

при загрузке системы выдает Missing operation system а не ввод пароля.

А это сообщение как раз и говорит, что у Вас нет загрузчика в Partition 1. Оно живёт в LBA=0. На картинке это сообщение подчёркнуто цианом…

В данном случае после fixmbr я не смог загрузиться. Оно и понятно, что активного исправного раздела System Reserved мало, а раздел с Windows 7… Windows 7 просит восстановит систему, только никак зашифрованное не восстановить. Спасает только восстановление загрузчика DCPP, например, так как оно рекомендовано в Ководстве…
Также понятно, что команда fixboot опять ни на что не влияет…


Цитата:

когда подрубаю второй хдд той же серии к которому подходит тот же ключ-файл и пароль, он не открывается http://clip2net.com/s/3e0EstP видимо DCPP ошибочно показывает тот хдд который я не могу раскриптить, путая его с этим хдд к которому этот ключ подходит, сорри за каламбур.

Видимо у хардов полностью совпадает LBA=0. Точнее, совпадает сигнатура диска (или GUID - Globally Unique Identifiers) --- байты 01B8 - 01BB,
Идентификатор стал не уникален… Вот Windows и запутывается в хардах..

Tau_0
есть ли вариации развития событий какие то?
стопудово, я дальше попытки восстановить загрузоч область не мог пойти. да и времени столько прошло, хдд тупо лежал в сторонке.

http://www.securstar.biz/news/dcpp-v5-4-released-win-10-compatible.html
DCPP v5.4 Released (Win 10 compatible)


Dear customer, we are happy to announce that a new version of DCPP v.5.4 has been released.
This new version is fully compatible with Windows 10.


What is new on DCPP 5.4 ?



•The new DCPP 5.4 version is fully Windows 10 compatible
•v5.4 properly handles the new Win 10 shutdown /restart and hibernation methods
•Improved tabled PC compatibility
•Improved UEFI Bios compatibility
•Improved GPT Hard disk Compatibility
•Improved solid state disk (SSD) compatibility
•Improved decryption speed

reversecode
кряка не нашли еще? я запрос на взлом создал, армадиллой оно защищено, унпакером у меня не получилось снять защиту хотя вроде там как 6 версия армадиллы

При переносе контейнера с одного диска на другой (если быть честным то восстанавливал файл контейнера с помощью R-Studio) больше контейнер в никакую не принимает пароли. В паролях я 100% уверен.
Я слышал что некоторые байты могли сместиться и после этого контейнер такие приколы выдаёт. Как быть, подскажите пожалуйста.

я не использовал р-студию не знаю как она там работает

если продукт dcpp(plus pack), и вы не правильно восстановили разделы, то пароли итд там в mbr хранятся

если продукт просто dc(drive crypt) где dcv контейнеры, значит контейнер восстановился не правильно, все абма, обращайтесь к авторам р-студии

Последняя версия поддерживает шифрование UEFI?

•Improved UEFI Bios compatibility

этого хватит ?