Кто разбирается в Truecrypt?

[OLiMP]

Да Offset 0000 по 01FF включительно. Копию надеюсь сделали ? Так же лишним не будет выделить диапазон с 0000 по 01FF сохранить его в новый файл, а на диске этот диапазон заполнить нулями. Диск P: это надеюсь не смонтированный TrueCrypt раздел, а физический раздел на диске ?

[Андрей Делов]

Копию пока не делал, подготавливаю место. Диск P - это смонтированный скрытый том TrueCrypt, который собственно не читается.

[OLiMP]

Чистить сектор надо на не смонтированном разделе. Портить сектор на смонтированном разделе бесполезно. Смысл в том что бы испортить первый сектор контейнера нужного Вам раздела. В этом случае при монтировании TrueCrypt точно использует копию заголовка встроенную в том. Поможет это только в том случае если начало контейнера нужного Вам раздела раздела переписано данными из другого контейнера с тем же паролем. В других случаях это не поможет.

[Андрей Делов]

Так у внешнего и скрытого томов пароли не могут быть одинаковые.

[OLiMP]

Пароль у Вас подходит. Том монтируется но там шифрованный мусор. Вывод - метаданные контейнера расшифровываются с введённым паролем, но сами данные нет. Такое бывает только в одном случае метаданные контейнера заменены. Вы записали некие 40 МБ данных, что за данные и куда Вы их записали не известно, а главное куда они реально записались. После их записи контейнер монтируется но не расшифровывается. Предположительный вывод - хитро попорчены метаданные контейнера. Что можно попробовать сделать - испортить метаданные в начале контейнера что бы TrueCrypt использовал копию метаданных в конце контейнера. Я не утверждаю что это поможет, и что всё произошло именно так как я описал выше. Но сделать что то ещё с Вашим контейнером вряд ли возможно. Метаданные даже при абсолютно тех же параметрах создания контейнера всегда разные. Ключи генерируются рандомно. Если же метаданные не были изменены то данные так или иначе программами по восстановлению обнаруживались.

[Андрей Делов]

Нулями заполнять вот здесь? http://joxi.ru/823dR9jC60vPJA

[OLiMP]

На смонтированном в truecrypt контейнере обнулять сектор бесполезно. Заполнится нулями первый сектор раздела, а не метаданные контейнера. Выясняйте физическое расположение контейнера на диске, с какого и по какой LBA контейнер нужного раздела лежит на диске. И первый сектор контейнера заполняйте нулями. К примеру нужный контейнер лежит в области LBA 600000000 по 700000000, заполнить нулями надо сектор 600000000.

[Андрей Делов]

Т.е. нужно сделать во-первых посекторную копию файла, в котором находятся открытый и скрытый тома. Как узнать с какого и по какой LBA контейнер нужного раздела лежит на диске?

[OLiMP]

Создать лучше посекторную копию всего диска. В каких LBA лежит тот или иной раздел можно в MBR, LBA0 диска. Если конечно диск не размечен в GPT. Для просмотра информации о разделах в GPT можно воспользоваться программой DMDE. Скрытый том лежал внутри открытого ? Помимо скрытого тома были ещё файлы в открытом томе ?

[Андрей Делов]

Скрытый том находится внутри внешнего (открытого). Внутри открытого тома файлы есть и они доступны. Изначально при его  создании и заполнении данными был выбран его размер почти впритык, т. е. он как бы 400GB, но данных на нём было 100 GB, а 300GB - это объём скрытого тома. И я выбрал объём внешнего тома 100GB. Внешне при его монтировании место было пустое, но при случайной записи на него данные записались на скрытый том.

[OLiMP]

Тогда найти где лежит скрытый том будет гораздо сложнее. Он в MBR не прописан. Надо разбираться как он лежит на диске. Если скрытый контейнер удастся сохранить как файл то можно попробовать описанный выше мной метод.

[Андрей Делов]

Затирать первый или нулевой сектор?

[OLiMP]

Нулевой сектор контейнера, не путать со смонтированным разделом, это разные сектора.

[OLiMP]

Создал временный контейнер со скрытым томом. Чистка нулевого сектора не помогает, скрытый том перестаёт монтироваться, восстановление заголовка проблему  с монтированием решает, но и только. Из неприятных новостей, если Вы не делали защиту скрытого тома от повреждений, и записали данные в открытый том, повредив тем самым данные в скрытом томе, что собственно у Вас и произошло, то скрытый том повреждается очень серьёзно. Даже при незначительном объёме записанной информации повреждается практически весь скрытый том. Выяснить расположение скрытого тома в открытом не возможно, место занимаемое скрытым томом никак не помечается как занятое. Так что боюсь в Вашем случае сделать что то со скрытым томом ничего не получится.