web-dev-qa-db-ja.com

Ubuntuをインストールした後、フォーマットされたLVM(Luks、Ext3)からデータを回復する

私は1TBのHDDを持っていますが、数日前に混乱しました

そのディスクには:

  • 1つのEXT3パーティション(/)
  • 1つのEXT3パーティション(/ boot)
  • 1つLUKS LVM約200 GBのEXT3パーティションがありました

Linux Mint 14をUbuntu 14.04に置き換えたかったので、USBからUbuntu 14.04を起動し、インストールウィザードを実行しました。ウィザードは「Linux Mint 14をUbuntu 14.04に置き換えてください」と私に尋ねたので、私はそうしました。LVMを追加し、ユーザーディレクトリを暗号化することも確認しました。パスワードを設定し、インストールしました。

インストールはほぼ最後にブロックされ、USB経由で再起動することで、HDDがフォーマットされ、/boot/だけが存在することに気付きました(LUKS LVMはフォーマットされ、これら2つのパーティションに置き換えられました)

私は持っています

  • ディスク自体
  • ディスクのdd image災害(1TB img)
  • LVMのロックを解除するパスフレーズ:最も古いもの(回復したい)と最新のもの(ルートパーティションのロックを解除する)

質問
貴重なデータを復元するにはどうすればよいですか?

partitioningencryptiondata-recoverylvm
3
Denys Vitali

残念ながら、 man cryptsetup

LUKSヘッダー:LUKSボリュームのヘッダーが破損した場合、すべてのデータはヘッダーのバックアップがない限り、永久に失われますキースロットが破損している場合、ヘッダーバックアップから復元できるのは、または既知のパスフレーズを持つ別のアクティブなキースロットが破損していない場合のみです。 LUKSヘッダーの損傷は、人々が驚くほど頻繁にやることです。 LUKSはfastおよび向けに設計されているため、このリスクはセキュリティと安全性のトレードオフの結果です。 secureヘッダーとキースロット領域を上書きするだけで消去

あなたのコメント(11時間前)ごとに、

ご回答有難うございます!残念ながらいいえ、私はしていません。キーのバックアップもLUKSヘッダーのバックアップもありません。

ディスクは(効果的に)安全に消去されたと思います。つまり、セクターは(少なくとも理論的には)ランダムデータと区別できません。

3
Elliott Frisch

すべてのファイルを回復する保証はありません。削除されたファイルに貴重なものがある場合は、試してみる価値があります。

このパーティシストフリストをアンマウントすることをお勧めします。データチェーンをそのままドライブに保持するために、パーティションに書き込むことはお勧めしません。つまり、上書きを避けます。このドライブの使用をすぐに中止してください!

Live CDから起動するか、OSがインストールされている別のドライブから起動します。

次に、物理ストレージからファイル/データを見つけて復元するソフトウェアを実行する必要があります。参照がファイルテーブルから削除されたか、ファイルテーブルが破損したため、オペレーティングシステムは削除されたファイルを表示できませんが、それでも可能です。

メス

これは、Linux用のファイルシステムに依存しない回復ツールです。最新バージョンは2.0です。 Ubuntuにインストールします

Sudo apt-get install scalpel

次はテキスト編集です。構成ファイルは/etc/scalpel/scalpel.confです。すべてがコメント化されていることがわかります。回復する特定のファイル形式のコメントを外します。たとえば、削除したZipファイルを復元する場合は、scalpel.confの.Zipファイルセクションのコメントを解除します

次に、ターミナルで次を実行します。

Sudo scalpel  [device/directory/file name] -o [output directory]

Scalpelを実行する前に、回復したファイルを保存する出力ディレクトリを空にする必要があります。そうしないと、エラーが発生します。

フォトレック

これは3つの最速のユーティリティです。 testdiskユーティリティパッケージによってインストールされます。コマンドラインをいじりたくない場合は、これが最適なユーティリティです。ターミナルでrootユーザーのphotorecasを実行するだけで、ncursesベースのNice UIが表示されます。

検索するデバイスを選択すると、パーティションテーブルタイプの入力を求められます。あなたのものを選択してください。私の場合、Intelです。次に、ファイルシステムまたはデバイスディスクのパーティションを選択する必要があります。次に、ファイルシステムを選択するよう求められます。

最後に、復元されたファイルを保存する出力フォルダーを要求します。選択した後、yを押して続行します。

注:上記のユーティリティでは、置き換えられたファイルは復元されません。置き換えの場合、iノード自体を置き換えるため、復元することはできません。

4
Ruslan Gerasimov

gpart(注:gparted!ではありません)を試すことができます。失われたパーティションの境界を推測できます。

gpartは、パーティションが暗号化されていないにも関わらず、同じような状況で一度私を救った。それでも試してみてください。

0
kraxor