Как снять шифрование с диска truecrypt

Обновлено: 17.05.2024

Пошаговое руководство для восстановления паролей к TrueCrypt-дискам.
Здесь вы научитесь извлекать данные, необходимые для поиска паролей к зашифрованным дискам и узнаете как экономить время при восстановлении TrueCrypt-паролей.

Постановка задачи

Имеется диск, зашифрованный с помощью TrueCrypt. Пароль для расшифровки TrueCrypt-диска утрачен.

  • извлечь данные, необходимые для восстановления пароля
  • восстановить TrueCrypt пароль в максимально короткие сроки

Расположение диска не имеет значения - он может находиться на внутреннем или внешнем носителе (HDD, SSD, USB-накопителе). Различия - в вариантах шифрования дисков:

  • шифрованный логический диск. Здесь, в этом примере, это USB-накопитель на 2Gb
  • шифрованный физический диск (режим WDE - Whole Disk Encryption). Здесь это внешний HDD на 40 Gb с системным разделом, установленной на нём ОС Windows, подключенный к рабочей системе через интерфейс USB

Далее рассмотрим оба варианта.

Извлечение данных для атаки на TrueCrypt пароль

Для валидации проверяемых паролей нужны 512 байт данных с TrueCrypt диска. В зависимости от типа зашифрованного диска эти данные располагаются с разным смещением:

  • шифрованный логический диск. Данные находятся в нулевом секторе логического диска (смещение 0x00)
  • шифрованный физический диск. Данные находятся в 63-ем секторе физического диска (смещение 0x7c00 (62*512)). Начальные сектора занимает загрузчик (bootloader) TrueCrypt

Для извлечения дампа данных с TrueCrypt диска используем программу для побайтового копирования диска. Здесь это аналог команды dd в Unix системах - dd for Windows

Шаг 1 - Подключаем внешний диск, зашифрованный в TrueCrypt.
Windows сообщит о поврежденном диске и предложит его отформатировать. Отказываемся от форматирования:

В результате в системе появится новый диск с какой-то буквой. Здесь это диск G: для логического диска и F: для физического.

Шаг 2 - Скачиваем и распаковываем dd for Windows.
Программа поставляется в виде zip-архива. Распаковываем её в отдельную папку. Здесь это папка "C:\dd\"

Шаг 3 - Запускаем интерфейс командной строки и переходим в папку с программой dd for Windows.
Открываем меню "Пуск", вводим в поиске "cmd", щелкаем правой кнопкой на найденном ярлыке и выбираем пункт "Запуск от имени Администратора":

В появившемся окне интерфейса командной строки вводим команду cd <путь к программе>. Здесь это cd c:\dd\

Шаг 4 - Выясняем системное имя подключённого диска.
Вводим команду dd --list и в появившемся списке по размеру подключенного носителя находим информацию о нём, известную системе (здесь размер физического диска 40Gb):

Тут же указан, системный путь привязки диска к системе - link to. Именно он нужен для обращения к физическому диску. Здесь это \\?\Device\Harddisk1\DR1

Выяснять системное имя логического диска не обязательно - к нему можно обратиться по присвоенной ему букве.

Шаг 5 - Извлекаем данные для восстановления TrueCrypt пароля.
Вводим и выполняем команду dd if=<[системный] путь к диску> of=<имя файла> <число секторов>.

  • для логического диска - dd if= \\.\g: of=1.bin count=1 - мы скопируем с начала логического диска G: в файл 1.bin 1 сектор данных
  • для физического диска - dd if= \\?\Device\Harddisk1\DR1 of=64.bin count=64 - мы скопируем с начала диска с определенным системным именем в файл 64.bin 64 сектора данных

В результате в папке с программой dd for Windows появилось два файла: 1.bin и 64.bin, извлечённые с зашифрованных TrueCrypt дисков.

Чтобы убедиться в том, что мы извлекли с физического диска нужные данные, откроем полученный файл (здесь это 64.bin) в HEX-редакторе. Если всё сделано верно, то мы увидим маркер "TrueCrypt Boot Loader":

В случае логического диска просмотр ничего не даст - мы увидим хаотичный набор данных.

Итак, получив данные, необходимые для атаки на TrueCrypt пароль можно переходить ко второму этапу.

Восстановление TrueCrypt пароля

ЭТО ВАЖНО: TrueCrypt использует стойкие алгоритмы шифрования и трюки, замедляющие проверку пароля. Поэтому большие индексы скорости перебора паролей вы не увидите ни в одной программе. Всегда используйте видеокарты AMD/NVIDIA - это значительно увеличит скорость перебора паролей.

Для восстановления TrueCrypt паролей используем программу с гибкой настройкой диапазона проверяемых значений и высокой скоростью их проверки.

Здесь это Passcovery Suite - программа, в которой есть:

  • сценарии выполнения поиска паролей
  • позиционная маска для создания паролей по правилам
  • мутация паролей из подключаемых UNICODE-словарей
  • поддержка видеокарт AMD/NVIDIA

Шаг 1 - Запускаем Passcovery Suite и выбираем файл дампа данных с TrueCrypt диска.
Тут всё привычно: выбираем дистрибутив (версии для Windows x86/x64), устанавливаем и запускаем программу.

Выбираем нужный том TrueCrypt или файл с данными шифрованного диска (можно через меню/панель инструментов или горячими клавишами "Ctrl+O"):

Здесь это 1.bin для файла с дампом данных с логического диска и 64.bin для файла с физического диска.

Шаг 2 - Подтверждаем, что выбрали файл для восстановления пароля TrueCrypt.
Поскольку дамп данных не содержит чёткой структуры, Passcovery Suite сделает предположение, что это данные TrueCrypt. Соглашаемся и продолжаем:

Шаг 3 - Задаем хэшфункцию и алгоритм шифрования для проверки паролей.
Защита данных в TrueCrypt реализуется на алгоритмической паре хэширования и шифрования. На этапе создания тома или диска задается один из трёх алгоритмов хэширования:

  • RIPEMD-160
  • SHA-512
  • Whirlpool

и один из алгоритмов шифрования (алгоритмы шифрования могут смешиваться):

Сейчас же нам нужно выбрать какую пару хэширования-шифрования проверять.

Passcovery Suite поддерживает все варианты, но узнать какая пара использовалась для защиты данных невозможно, а проверка каждого сочетания требует дополнительного времени.

Если достоверной информации о паре хэширования-шифрования нет - выбираем все варианты. Придется потратить дополнительное время, но только полная проверка гарантирует, что мы не пропустим нужный пароль из-за ошибки выбора пары.

Настройки для разных вариантов шифрованных дисков:

    шифрованный логический диск (также подходит для томов TrueCrypt). Возможны любые сочетания хэширования-шифрования:

  • необходимо указать адрес смещения (7С00) для доступа к последним 512 байтам данных, считанных на первом этапе в файл 64.bin
  • возможен только один вариант хэширования - RIPEMD-160 (boot volume)

Шаг 4 - Выбираем атаку на пароль и задаем её опции.
Passcovery Suite предложит три вида атак с большим набором опций:

  • атака перебором. Атака, при которой перебираются все возможные варианты. Можно задать наборы символов, длину пароля и установить простую маску. Самый растянутый во времени вариант
  • атака перебором с позиционной маской. Атака, при которой перебираются только варианты, подходящие под правила маски. Можно задать значения индивидуально для каждой позиции пароля (например первый символ только цифра, остальные только буква, а три последние - спецсимволы), установить длину пароля. Лучший вариант, когда известна структура пароля
  • атака с использованием словаря. Атака, при которой проверяются все слова из словаря. Можно объединять слова из разных Unicode-словарей, менять, удалять, переставлять и подменять символы. Отличный вариант для паролей, полученных путем мутации обычных слов

Подробнее о возможностях атак - здесь. Видеопримеры их использования - на канале YouTube.

Шаг 5 - Запускаем восстановление TrueCrypt пароля.
Когда настройки сделаны, запускаем поиск пароля и ждем результат. Во время работы, Passcovery Suite сохраняет настройки атаки и статус её выполнения в файл с расширением .prs (Password Recovery Status) - мы всегда можем прервать атаку и вернуться к ней позже.

После обнаружения пароля программа отображает его в виде гиперссылки. Щёлкнем по нему, скопируем в буфер обмена и можно открывать зашифрованный TrueCrypt диск:

Итоги

Восстановление TrueCrypt паролей - это тернистый путь, пропитанный горечью разочарований от бездонности времени поиска.

Но если вы решили ступить на него, если у вас есть представления о структуре пароля, то вам понадобятся:

Есть подозрение, что TrueCrypt неким образом может негативно на это отреагировать. Поскольку, когда включается комп, то если нечего не наживать-загружается Линукс. Для того, чтобы загрузилась винда, нужно нажать некую комбинацию клавиш, выбрать необходимый пункт в меню и потом ввести пароль для загрузки.
Опасаюсь, что TrueCrypt внес некие изменения в MBR.

Добавлено через 43 секунды

__________________
Никогда не спорьте с идиотами. Вы опуститесь до их уровня, где они вас задавят своим опытом. Если ты заново переразметишь HDD - MBR тоже будет записана заново. Есть подозрение, что TrueCrypt неким образом может негативно на это отреагировать. А не пофиг ли, как он отреагирует, если тебе данные не нужны? Удали ВСЕ разделы, переразметь снова и пользуйся. Можешь сделать это любым загрузочным софтом - хоть акронис, хоть установщик винды.
MBR также можно переписать __________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka Можешь сделать это любым загрузочным софтом - хоть акронис, хоть установщик винды. А вот лучше создавать разметку именно виндой (либо её установщиком) - а то из-за "стороннего" софта всякие варианты бывают.
Вот просто удалять - это всё равно чем. Smirnoff
Я и не спорю, ему же удалить надо - для этого любой софт сойдёт, а при установке ОСи можно и разбить. __________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka

Ребята, я в курсе как и чем разбить хард

Я раньше никогда не имел дела с TrueCrypt и поэтому есть некие переживания по поводу обычного переразбивания и форматирования жесткого диска.

Как-то не очень хочется его запороть по глупости. На некоторых форумах встречал информацию о том, что если отформатировать зашифрован диск, то он потом не корректно работает.

__________________
Никогда не спорьте с идиотами. Вы опуститесь до их уровня, где они вас задавят своим опытом. если отформатировать зашифрован диск, то он потом не корректно работает Скорее всего, ты когда-то что-то читал про аппаратное шифрование силами контроллера HDD; TrueCrypt - просто софтина и не более того.

В системе установлено две операционки: одна открытая (Линукс) и закрытая и зашифрованная (Винда 7). Я не знаю на сколько глубоко сидит TrueCrypt в загрузочной области. Сам понимаю, что самый простой способ - это банально загрузиться с флешки и Акрониксом все похерить и во время установки Винды создать новые диски с нужными размерами.

Интересует ответ людей, которые сталкивались именно с TrueCrypt и похожими ситуациями.

Добавлено через 28 минут

Q: Возможно ли поменять фйловую систему на зашифрованном разделе?

A: Да, когда примонтированы, разделы TrueCrypt могут быть отформатированны в FAT12, FAT16, FAT32, NTFS или любую другую файловую систему. Разделы TrueCrypt ведут себя как обычные дисковые устройства, так что Вы можете кликнуть правой кнопкой мыши на иконке устройства и выбрать пункт "Форматировать". Содержимое диска будет потеряно. Однако, сам раздел будет оставаться зашифрованным. Если Вы зашифрованный TrueCrypt партиций (раздел), когда тот не примонтирован, то раздел будет уничтожен и больше не будет шифроваться (он будет пустой).

Читайте, как восстановить удаленные файлы с контейнера TrueCrypt или VeraCrypt , как смонтировать и разблокировать зашифрованный диск для доступа к файлам. Если вы ищете простой и эффективный способ зашифровать все данные компьютера начиная от системного или обычного логического диска, до диска с резервными копиями, внешнего USB диска или карты памяти, то используйте VeraCrypt . Это инструмент с открытым исходным кодом, который соответствует самым высоким стандартам шифрования данных.

Что такое TrueCrypt, VeraCrypt и зачем их использовать?

Лучший способ защитить ваши файлы от просмотра посторонними лицами это зашифровать их. Программа шифровщик использует секретный ключ, чтобы превратить содержимое файлов в поток нечитаемого бреда. Пока вы не используете ключ для разблокировки прочитать содержимое не будет никакой возможности.

Программа VeraCrypt построена на основе очень популярного инструмента с открытым исходным кодом TrueCrypt. После закрытия проекта TrueCrypt компания IDRIX доработала продукт новыми возможностями исправила проблемы в безопасности.

С VeraCrypt вы можете создать зашифрованный контейнер, который монтируется в систему как обычный диск. Все файлы из этого контейнера шифруются и расшифровываются на лету. Поэтому вы продолжаете просматривать и редактировать их как будто они находятся на вашей флешке. По окончанию работы с ними контейнером программа блокирует доступ к нему и очищает ключи и содержимое файлов из оперативной памяти.

VeraCrypt позволяет шифровать системный диск, но мы рекомендуем использовать встроенный в Windows 10 инструмент Bitlocker. Особенностью VeraCrypt является возможность создания скрытого шифрованного раздела. Если вы находитесь в руках злоумышленников, и они просят у вас ключ, вы можете предоставить им «фейковый» ключ для разблокирования, заранее подготовленного «фейкового» раздела. Использование основного ключа разблокирует совсем другой раздел с настоящими данными.

Как создать зашифрованный раздел

Загрузите и установите программу, затем перейдите в меню Пуск и запустите VeraCrypt и вы увидите главное окно программы:

Инструкция по использованию TrueCrypt

Если вам нужен простой и очень надежный инструмент для шифрования данных (файлов или целых дисков) и исключения доступа к ним посторонних, TrueCrypt — это, пожалуй, лучший инструмент для этих целей.

В этой инструкции — простой пример использования TrueCrypt для создания зашифрованного «диска» (тома) и последующей работы с ним. Для большинства задач по защите своих данных, описанного примера будет достаточно для последующего самостоятельного использования программы.

Обновление: TrueCrypt больше не разрабатывается и не поддерживается. Рекомендую использовать VeraCrypt (для шифрования данных на не системных дисках) или BitLocker (для шифрования диска с Windows 10, 8 и Windows 7).

Где скачать TrueCrypt и как установить программу

  • Windows 8, 7, XP
  • Mac OS X
  • Linux

Русский язык в TrueCrypt

  1. Скачайте архив с русским языком для TrueCrypt
  2. Распакуйте все файлы из архива в папку с установленной программой
  3. Запустите TrueCrypt. Возможно, русский язык активируется сам (если Windows русская), если же нет, то зайдите в «Настройки» (Settings) — «Язык» (Language) и выберите нужный.

На этом, установка TrueCrypt завершена, переходим к руководству по использованию. Демонстрация производится в ОС Windows 8.1, но и в предыдущих версиях что-либо отличаться не будет.

Использование TrueCrypt

Главное окно TrueCrypt

Итак, вы установили и запустили программу (на скриншотах будет TrueCrypt на русском языке). Первое, что потребуется сделать — создать том, нажмите соответствующую кнопку.

Мастер создания томов

Откроется мастер создания томов TrueCrypt со следующими вариантами создания тома:

  • Создать зашифрованный файловый контейнер (именно этот вариант мы и разберем)
  • Зашифровать несистемный раздел или диск — подразумевается полное шифрование целого раздела, жесткого диска, внешнего накопителя, на которых не установлена операционная система.
  • Зашифровать раздел или диск с системой — полное шифрование всего системного раздела с Windows. Для запуска операционной системы в последующем придется вводить пароль.

Выбираем «зашифрованный файловый контейнер», самый простой из вариантов, достаточный для того, чтобы разобраться с принципом работы шифрования в TrueCrypt.

Выбор типа тома

После этого будет предложено выбрать — обычный или скрытый том следует создать. Из пояснений в программе, думаю, ясно в чем отличия.

Расположение зашифрованного тома

Следующий шаг — следует выбрать размещение тома, то есть папку и файл, где он будет располагаться (поскольку мы выбрали создание файлового контейнера). Нажмите «Файл», перейдите к папке, в которой предполагаете хранить зашифрованный том, введите желаемое имя файла с расширением .tc (см. на картинке ниже), нажмите «Сохранить», а затем — «Далее» в мастере создания томов.

Сохранение файла тома TrueCrypt

Следующий шаг настройки — выбор параметров шифрования. Для большинства задач, если вы не секретный агент, достаточно стандартных настроек: можете не сомневаться, без специального оборудования, раньше чем через несколько лет никто не сможет посмотреть ваши данные.

Параметры шифрования

Следующим этапом будет задание размера зашифрованного тома, в зависимости от того, какой объем файлов вы планируете хранить в секрете.

Установка пароля на том

Нажмите «Далее» и вас попросят ввести пароль и подтверждение пароля на том. Если вы хотите действительно защитить файлы, следуйте рекомендациям, которые вы увидите в окне, там все подробно описано.

Форматирование тома TrueCrypt

На этапе форматирования тома вам предложат перемещать мышь по окну для генерации случайных данных, которые помогут увеличить стойкость шифрования. Кроме этого, вы можете задать файловую систему тома (например, для хранения файлов больше 4 Гб следует выбрать NTFS). После того, как это сделано, нажмите «Разметить», подождите немного, а после того, как увидите, что том был создан, выйдите из мастера создания томов TrueCrypt.

Работа с зашифрованным томом TrueCrypt

Монтирование тома TrueCrypt

Зашифрованный том в проводнике Windows

После этого, смонтированный том отразится в главном окне TrueCrypt, а если вы откроете проводник или «Мой компьютер», вы увидите там новый диск, который и представляет ваш зашифрованный том.

Теперь, при любых операциях с этим диском, сохранении файлов на него, работе с ними, они шифруются «на лету». После работы с зашифрованным томом TrueCrypt, в главном окне программы нажмите «Размонтировать», после этого, до очередного ввода пароля, ваши данные будут недоступны посторонним.

Читайте также: