BETA

Ανάκτηση δεδομένων κρυπτογραφημένου δίσκου Windows από Linux

Εικόνα constantinos

hard disk

Σε αυτόν τον οδηγό θα δούμε πώς μπορούμε να ανακτήσουμε τα αρχεία μας μέσω Linux, από έναν κρυπτογραφημένο δίσκο Windows. Προσέξτε ότι ο οδηγός αυτός δεν αναφέρεται στο πώς να σπάσετε (cracking) το BitLocker και να για λειτουργήσει, θα πρέπει να έχετε δημιουργήσει το BitLocker recovery key (ή να γνωρίζετε το κλειδί αποκρυπτογράφησης) το οποίο συνήθως το αποθηκεύετε σε ένα USB stick και έχει κατάληξη .bek.
Για το cracking του BitLocker έχουν κυκλοφορήσει ήδη προγράμματα για Windows.  Αν θέλετε να ασχοληθείτε με αυτό, θα πρέπει να ξέρετε (ή να μάθετε) πώς να «κρατάτε» τον υπολογιστή κατά τη διάρκεια του boot και πώς να κάνετε extract τα δεδομένα της RAM. Εξάλλου, τα προγράμματα που (ισχυρίζονται ότι) σπάνε το BitLocker, προσπαθούν να διαβάσουν το κλειδί από τρία αρχεία και συγκεκριμένα:

memory.dmp , C:\Pagefile.sys , C:\hiberfil.sys

Το υποτιθέμενο σενάριο εδώ είναι πως, έχετε κρυπτογραφήσει τον δίσκο των Windows με το BitLocker και για κάποιον λόγο δεν μπορείτε πλέον να κάνετε boot. Είτε κρασάρουν, είτε κολλάνε, είτε...οτιδήποτε. Αυτό που πρέπει να κάνετε είναι να πάρετε τα σημαντικά σας αρχεία και να τα αντιγράψετε σε έναν άλλο δίσκο/διαμέρισμα, πριν το format.
Το παραπάνω γίνεται εύκολα σε δίσκο που δεν είναι κρυπτογραφημένος, απλά κάνοντας boot από ένα Live Linux USB, κάνετε προσάρτηση (mount) το διαμέρισμα των Windows και αντιγράφετε τα αρχεία σας, τα οποία βρίσκονται συνήθως στην διαδρομή:

Users / το username σας /

Φανταστείτε τι κενό ασφαλείας θα ήταν, αν το παραπάνω μπορούσε να γίνει έτσι απλά σε έναν κρυπτογραφημένο, με το BitLocker, δίσκο.  Όταν ο δίσκος έχει κρυπτογραφηθεί, δεν μπορείτε να διαβάσετε τα αρχεία και ίσως να μην γίνεται καν προσάρτηση το διαμέρισμα.  Σίγουρα όμως, δεν θα μπορείτε να τα ανακτήσετε/αντιγράψετε κάπου αλλού.

Dislocker

Το dislocker είναι ένα πρόγραμμα ανοιχτού κώδικα το οποίο αναπτύσσεται στο github και ο σκοπός του είναι να μπορεί κάποιος να κάνει προσάρτησει έναν κρυπτογραφημένο διαμέρισμα/δίσκο Windows, αφού βέβαια διαθέτει το recovery key (το οποίο όπως είπαμε το αποθηκεύετε συνήθως σε ένα USB stick και το αρχείο έχει κατάληξη .bek). Αν βέβαια γνωρίζετε τον κωδικό αποκρυπτογράφησης του BitLocker, τότε είναι και αυτό δεκτό. Αυτό που κάνει το dislocker είναι να δημιουργεί ένα εικονικό αποκρυπτογραφημένο NTFS διαμέρισμα και να το κάνει προσάρτηση εκεί που εσείς θα του πείτε (δείτε παρουσίασή του).

-Πάμε να δούμε την διαδικασία:

Κάντε boot από ένα Linux Live USB που έχετε δημιουργήσει.
Κατεβάστε το dislocker από αυτή τη σελίδα.
Ανοίξτε ένα τερματικό και δώστε την εντολή:

sudo parted -l

ή:

sudo fdisk -l

για να εντοπίσετε το Windows διαμέρισμα. Εδώ υποθέτουμε ότι είναι το /dev/sda2.
Εγκαταστήστε το πακέτο libfuse-dev, μέσω τερματικού με την εντολή:

sudo apt-get install libfuse-dev

η παραπάνω εντολή είναι για Debian/Ubuntu ή -based λειτουργικά συστήματα. Για άλλες διανομές, ψάξτε το αντίστοιχο πακέτο, μπορεί να ονομάζεται διαφορετικά (π.χ libfuse-devel).
Κάντε extract το dislocker με την εντολή:

tar xvzf dislocker.tar.gz

και μεταβείτε στον φάκελο με:

cd dislocker/src/

Το χτίζουμε και το εγκαθιστούμε με τις εντολές:

sudo make
sudo make install

η εντολή sudo make δεν προτείνεται, αλλά εδώ είμαστε από live (και όχι κανονική εγκατάσταση) οπότε δεν μας ενδιαφέρει.
Αν σας επιστρέψει οποιοδήποτε μήνυμα λάθους και δεν ολοκληρωθεί η εγκατάσταση, δοκιμάστε να εγκαταστήστε το πακέτο build-essential (αυτό το πακέτο είναι πάλι για Debian/Ubuntu ή -based διανομές):

sudo apt-get install build-essential

και μετά δοκιμάστε ξανά.

Αφού χτιστεί σωστά και εγκατασταθεί το dislocker, δημιουργούμε και έναν φάκελο όπου θα γίνει προσάρτηση το εικονικό διαμέρισμα NTFS, το οποίο θα αποκρυπτογραφήσουμε (είτε με το recovery key που έχουμε στο USB – το αρχείο με κατάληξη .bek, είτε με το κλειδί μας – αν το θυμόμαστε).

sudo mkdir /media/windows/

Έπειτα και για ασφάλεια και μόνο, δημιουργούμε ένα αντίγραφο του διαμερίσματος με την εντολή:

sudo dd if=/dev/sda2 of=ecrypted.bitlocker

και η εντολή αποκρυπτογράφησης μέσω κωδικού είναι:

sudo dislocker -V encrypted.bitlocker -p00000-00000-000000-00000-00000-00000-00000-00000 -- decrypted.ntfs

To -p00000-00000-00000-..... το αντικαθιστούμε με το δικο μας κλειδί.
Διαφορετικά και αν έχουμε το recovery key σε μορφή αρχείου .bek , δίνουμε:

sudo dislocker -V encrypted.bitlocker -f /path/to/USB/file.bek -- /media/windows/

Η παραπάνω εντολή θα δημιουργήσει (και αν όλα πάνε καλά) ένα αρχείο με όνομα dislocker-file. Με αυτό το αρχείο θα προσπαθήσουμε τώρα να κάνουμε mount το κρυπτογραφημένο διαμέρισμα των Windows.
Πάμε στον φάκελο που δημιουργήσαμε και αποκτούμε αυξημένα δικαιώματα με:

sudo -i && cd /media/windows/

και δίνουμε:

mount -o loop dislocker-file /media/mnt/

Αν όλα πάνε καλά, τα αποκρυπτογραφημένα (πλέον) αρχεία μας θα βρίσκονται στην διαδρομή /media/mnt/ και μπορούμε να τα διαβάσουμε/αντιγράψουμε σε ένα ασφαλές μέρος.
Τέλος, πριν κάνετε reboot, κάντε unmount τα διαμερίσματα με τις εντολές

sudo umount /media/windows/dislocker-file
sudo umount /media/mnt

Αυτό ήταν, η δουλειά έγινε.

[thanks στον Anonymos, για το άρθρο]

  • Σχόλια

1 Comments:

  1. Εικόνα Soter
    Soter (χωρίς επαλήθευση)Νοε 09, 2017 20:22 ΜΜ

    Αν κατάλαβα καλά, είναι η περίπτωσή μου. Δεν ενδιαφέρομαι για μπουτάρισμα του σκληρού μου δίσκου, που είναι κρυπτογραφημένος με BitLocker στα Windows 10, αλλά μόνο για ανάκτηση κάποιων δεδομένων μετά την καταστροφή του PC που ήταν εγκατεστημένος. Δεν έχω όμως ιδέα από Linux και αναρωτιέμαι αν υπάρχουν τίποτα αναλυτικές απλές οδηγίες για το πώς μπορεί να γίνει αυτό. Συμπτωματικά είδα σε έναν φίλο μου ένα CD με ετικέτα Ubuntu Linux, που ούτε αυτός γνωρίζει περί τίνος πρόκειται. Βοηθάει αυτό και με ποιό τρόπο, ή πρέπει να ψάξω για κάτι άλλο;
    Σας ευχαριστώ για τον χρόνο σας

Scroll to Top