datarecovery op bitlocker harde schijf - Privacy en beveiliging

zaterdag 1 oktober 2016 08:36

Acties:

0 Henk 'm!

Topicstarter

Zit hier met een harde schijf welke beveiligd is met bitlockerkey.

Door een of ander virus is zowat de helft van de schijf gewist.

De code van de bitlocker heb ik, dus ik kan de schijf ontgrendelen.
Nu heb ik hier al enkele recoverytools op losgelaten, de een vind al meer dan de andere.

Echter alle data die teruggevonden wordt is onbruikbaar. Niet te openen, ofwel rare tekens in bvb excel/word/... ofwel niet ondersteund of beschadigd van melding (pdf, foto, video).

Komt dit doordat deze met bitlocker was beveiligd dat de data onleesbaar blijft? Of wat zijn de andere mogelijkheden nog?

*Het is geen encrypvirus dat erop zat, was virus dat documentenmap en alle extra mappen op de C schijf volledig heeft gewist)

zaterdag 1 oktober 2016 08:39

Acties:

0 Henk 'm!

DennusB

Tijd om je backup terug te halen

Owner of DBIT Consultancy | DJ BassBrewer

zaterdag 1 oktober 2016 08:46

Acties:

0 Henk 'm!

ITS PLUS

Topicstarter

Ik heb van alles voldoende backups, maar niet iedereen is zo slim ;-)
(schijf is dus niet van mezelf)

zaterdag 1 oktober 2016 09:56

Acties:

0 Henk 'm!

Bastien

Probleemeigenaar

Er is wel software te vinden welke verwijderde bestanden kan terughalen van Bitlocker schijven. Even googelen. Mijn ervaring (van lang geleden) is dat normale software dat niet kan, juist om Bitlocker, ook al is de key ingegeven.

En noem anders wat je al geprobeerd hebt, scheelt zinloze opsommingen van reageerders.

Je privacy is voor het eerst geschonden bij de eerste echo. Daarna wordt het er de rest van je leven niet meer beter op.

zaterdag 1 oktober 2016 12:12

Acties:

0 Henk 'm!

ITS PLUS

Topicstarter

getdataback, easus recovery, recuva, asoftech, wise data recovery, stellar phoenix zijn allemaal geprobeerd.

zaterdag 1 oktober 2016 12:17

Acties:

0 Henk 'm!

Radiant

Certified MS Bob Administrator

Zoals hier is te zien zit Bitlocker onder de filesystemlaag in Windows: http://flylib.com/books/2/955/1/html/2/images/fig5-2.jpg
Dat betekent dat het hele bestandssysteem onleesbaar is zonder bitlockerkey.

Als je wel bestanden kan zien is het unlocken van het Bitlockervolume in ieder geval gelukt; dat de data niet bruikbaar is zal dus helaas duiden op (waarschijnlijk onherstelbare) corruptie van de bestanden en niet dat ze nog versleuteld zijn of iets dergelijks.

zaterdag 1 oktober 2016 12:20

Acties:

0 Henk 'm!

jeroen3

Lijkt me echt een job voor specialisten.

zaterdag 1 oktober 2016 13:49

Acties:

0 Henk 'm!

Bastien

Probleemeigenaar

Heb een aantal jaren geleden onderstaand programma gebruikt in een vergelijkbare situatie met bitlocker voor een sukkel zonder backup. Toen heb ik niet alles maar wel redelijk wat kunnen redden.

http://www.m3datarecovery...cker-encrypted-drive.html

Je privacy is voor het eerst geschonden bij de eerste echo. Daarna wordt het er de rest van je leven niet meer beter op.

zaterdag 1 oktober 2016 17:18

Acties:

0 Henk 'm!

ITS PLUS

Topicstarter

Kan de schijf unlocken met de key. Daar zie ik de data staan die nog niet verwijderd is.
Scannen met de gewone tools levert de mappen op, maar telkens zijn ze onbruikbaar.

@Bastien: ga die tool straks eens testen, wie weet lukt het hiermee wel. Thx

zondag 2 oktober 2016 19:08

Acties:

0 Henk 'm!

Digirec

De schijf is versleuteld met Bitlocker. Dat houdt dus in dat het hele "filesystem" versleuteld is, totdat je de encryptiesleutel ingeeft.

Hierna heb je een normaal filesystem zoals op iedere (niet gecrypte) harde schijf.
Ik ga er vanuit dat de schijf na deceptie, normaal NTFS geformatteerd is.
Je zult dus op dezelfde wijze als op een schijf die alleen maar NTFS geformatteerd is, data kunnen recoveren.

Als je dus geen bruikbare data boven water haalt is ofwel het NTFS filesystem corrupt (gemaakt) waardoor verwijzingen naar de plaatsen van de gedelete files niet meer kloppen, ofwel de data is tijdens het wissen van de bestanden overschreven met nullen of random data.

Modbreakje: knip, geen werving.

[ Voor 3% gewijzigd door F_J_K op 21-10-2016 08:48 ]

zondag 2 oktober 2016 19:34

Acties:

0 Henk 'm!

ITS PLUS

Topicstarter

Encryptiesleutel is in mijn bezit, dus kan de schijf benaderen.
Met gewone recoverytools telkens de data teruggevonden, maar telkens corrupt.

Nu eens geprobeerd met de m3datarecovery, zie de verwijderde data weer staan, kan deze recoveren, maar kan niet geopend worden, zelfde resultaat: corrupte files helaas.

@Digirec: ik overleg morgen even met de eigenaar en geef je seintje moest deze toch verder willen gaan met de recovery. Mijn datarecoveryskills zijn uitgewerkt

[ Voor 20% gewijzigd door ITS PLUS op 02-10-2016 19:36 ]

maandag 3 oktober 2016 13:54

Acties:

0 Henk 'm!

ELD

Gebruik na unlocken eens PhotoRec (http://www.cgsecurity.org/wiki/PhotoRec) onderdeel van ( (http://www.cgsecurity.org/wiki/TestDisk) open source tool, zeer effectief met het terughalen van alle soorten bestanden. Je kunt ook specifiek aangeven wat voor soort bestanden je wilt vinden .jpg, zip, docx etc etc.

[ Voor 38% gewijzigd door ELD op 03-10-2016 13:57 ]

vrijdag 7 oktober 2016 16:53

Acties:

0 Henk 'm!

ITS PLUS

Topicstarter

@ELD: Photorec helaas ook niets terug gevonden.

zaterdag 15 oktober 2016 19:00

Acties:

0 Henk 'm!

ebia

ITS PLUS schreef op zaterdag 01 oktober 2016 @ 08:36:
*Het is geen encrypvirus dat erop zat, was virus dat documentenmap en alle extra mappen op de C schijf volledig heeft gewist)

Hoe weet je dit zo zeker? Heb je een naam van het virus?

Normaliter moet het gewoon mogelijk zijn met dergelijke recovery tools bestanden terug te halen, full disk encryption of niet.

vrijdag 21 oktober 2016 08:42

Acties:

0 Henk 'm!

Bart_GR

Welke recovery software heb je tot nu toe geprobeerd?