Recuperar un contenedor de TrueCrypt con WinHex

Cuando ciframos un disco entero con TrueCrypt en los primeros 512 bytes (la cabecera del volumen) se insertan las claves maestras para descifrarlo y la cadena "TrueCrypt Boot Loader",  por lo que es fácilmente identificable y si se corrompe o es parcialmente sobreescrito podemos recuperarlo usando un backup de esta cabecera.

La cosa se complica si tenemos una partición o un fichero contenedor y lo borramos accidentalmente con tan mala suerte de que su tamaño hace que no se haya almacenado en la papelera de reciclaje (que por otra parte es algo frecuente). Si examinamos el disco veremos un montón de datos pseudo-aleatorios y cifrados, y es probable que herramientas como Recuva no lo detecten (no existen firmas claras para encontrarlos).

Pero no todo está perdido. Podemos utilizar un editor hexadecimal como WinHex para recuperar un bloque de datos que corresponda a nuestro contendedor cifrado. No obstante, para ello tendrán que cumplirse dos requisitos: 1/ que el fichero no esté desfragmentado y 2/ que al inicio o al final del fichero le sigan un grupo de ceros (o conocer un patrón en hexadecimal que podemos obtener de un backup anterior del fichero).


Si se dan estas dos condiciones, entonces podremos examinar el disco en raw viendo bloques de datos contiguos que tienen el tamaño de nuestro volumen perdido. Para ello nos moveremos indicando el offset en bytes convertido en hexadecimal y seleccionaremos "relativo a la posición actual". Por ejemplo, para movernos 1 GB desde el offset en el que estamos introduciremos "40000000" (1024 * 1024 * 1024 convertido a hex). Una vez identificada la "frontera" que separa ceros y datos marcaremos el inicio y el final del bloque para recuperar el volumen de Truecrypt. Puede ser un trabajo bastante tedioso y a veces fallido, pero también la única solución en algunos casos...



Más información en: http://forums.anandtech.com/showthread.php?t=2248315

Comentarios