id: Гость   вход   регистрация
текущее время 16:49 28/03/2024
Автор темы: ruslan_911, тема открыта 11/07/2007 18:19 Печать
http://www.pgpru.com/Форум/PGPdiskWholeDisk/ПомогитеПроблемаСPgpWdeНеМогуПрочИтьИнформацию
создать
просмотр
ссылки

ПОМОГИТЕ! Проблема с PGP WDE. Не могу прочитать информацию.


Местные гуру, помогите спасти информацию с винчестера.
Ситуация:

Ноутбук, единственный винт на 80гб (загрузочный) полностью закриптован WDE (PGP 9.0.0 Build 2001). На винте 2 раздела FAT32.
Все работало прекрасно, пока не совпали несколько фатальных факторов. Вирус запорол группу файлов *.sys (один из которых d386bus.sys). Винда XP Home не хочет подниматься ни в безопасный режим, ни в консольный – никуда.
Bootguard стартует нормально, спрашивает пасс, грузит винду и все останавливается на том что не найден d386bus.sys

Использовал Recovery CD от PGP 9.0.6. Он увидел винт. Я ввел пасс, затем сказал декриптовать диск. Все было ок, % благополучно показывал приближения к happy end. Где-то на 65% я вышел на 10 мин из комнаты и конгда вернулся – то увидел меню загрузки виндовс. То есть как будто пошла загрузка с винта нажато F8. Вбщем меджик какой-то. Я было подумал, что он оставшиеся 65% за 5 мин. прохавал и декриптовал винт, но перегрузка упорно начинала с бутгварда.
C этого момента рековери сд вообще матюкается и пешет чего-то типа Internal error ... 0x80... System halted (пишу по памяти)
Установив винт в другую машину с установленным PGP. PGP Desktop винт видит, пишет Encrypted: disk locked. Please reinsert (тоже пишу по памяти)
Спасите! 2 года работы висит на волоске (Резервов не было – посыпаю голову пеплом) ;-(


 
Комментарии
— ruslan_911 (11/07/2007 18:40)   профиль/связь   <#>
комментариев: 8   документов: 1   редакций: 1
Может есть какой-то способ примонтировать диск, ввести пароль и получить доступ к файлам.
Что делать? Подскажите.
— SATtva (11/07/2007 19:58)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Меня вот это смущает:
C этого момента рековери сд вообще матюкается и пешет чего-то типа Internal error ... 0x80... System halted (пишу по памяти)
Выглядит так, как будто в процессе расшифрования диска комп сбросило из-за скачка напряжения, но вот то, что у Вас лаптоп, данную версию опровергает.

Каких-то особо ценных предложений у меня пока нет. Уточните, какая версия PGP установлена на втором компе, куда подключали винт? Вот ещё что: если из консоли выполнить pgpwde --status --disk <num> (см. подробнее о команде по ссылке, но для второго диска здесь нужно указать 1), что выдаст программа? Можете привести здесь её ответ?
— ruslan_911 (12/07/2007 09:26)   профиль/связь   <#>
комментариев: 8   документов: 1   редакций: 1
SATtva – огромное спасибо за помощь.
Уточните, какая версия PGP установлена на втором компе, куда подключали винт?

PGP Desktop 9
9.0.0 [Build 2001]
PGP SDK 3.5.0
– Точно такая же как и на моем ноуте (тот же инстал)

что если из консоли выполнить pgpwde ... что выдаст программа?


C:\Program Files\PGP Corporation\PGP Desktop>pgpwde --status --disk 1
Get Volume Information E status: Get Volume Information F status: Disk 1 is instrumented by bootguard.
Invalid stage2 start sector.

P. S.: SATtva У меня появилась надежда на свет в конце тунеля.
— ruslan_911 (12/07/2007 09:35)   профиль/связь   <#>
комментариев: 8   документов: 1   редакций: 1
Дополнительная информация (возможно пригоится):

C:\Program Files\PGP Corporation\PGP Desktop>pgpwde --disk 1 --disk-info
Get Volume Information E status: Get Volume Information F status: Disk information for disk 1.
Model Number: ST9808210A
Disk is fixed.
Total number of sectors on disk: 156296385
— ruslan_911 (12/07/2007 09:43)   профиль/связь   <#>
комментариев: 8   документов: 1   редакций: 1
А что если зайти в рековери от Windows CD и попробовать fixmbr
Может это исправит ошибку
Invalid stage2 start sector


Что скажете.
P. S. Только что сделал резервный имидж пострадавшего винта акронисом.
— SATtva (12/07/2007 09:53)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ага, интересно. Значения Highwater нет, т.е. по логике диск был полностью расшифрован, остался только загрузчик bootguard. В принципе, можно просто снять загрузчик (команду приведу чуть позднее), но хочу задать ещё один вопрос: учитывая, что винт сейчас подключен к рабочей машине, Вы пробовали открыть содержимое этих дисков с неё? Что говорит Windows? "Диск не отформатирован" или что-то типа этого?

Прежде чем перейти к снятию Bootguard было бы желательно, если бы сделали резервную копию образа дисков. Сделать это можно программами типа Norton Ghost. Это просто на всякий случай, чтобы случайно не усугубить ситуацию.
— ruslan_911 (12/07/2007 09:57)   профиль/связь   <#>
комментариев: 8   документов: 1   редакций: 1
Вот что выдает PGP Desktop:
http://slil.ru/24622265
Картика с PGP Desktop
— SATtva (12/07/2007 09:58, исправлен 12/07/2007 10:01)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Пока писал свой ответ, не заметил, что Вы уже ответили. :-)

Тогда выполняйте из консоли:
pgpwde --uninstrument --disk 1
pgpwde --status --disk 1
Вторая команда должна сообщить, что диск больше "not instrumented by bootguard". Подключайте винт к неработоспособной машине, запускайте её и восстанавливайте Винду.
— SATtva (12/07/2007 10:00)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Вот что выдает PGP Desktop:

Я имел в виду открытие диска через Проводник или другой файловый менеджер.
— ruslan_911 (12/07/2007 10:12)   профиль/связь   <#>
комментариев: 8   документов: 1   редакций: 1
При попытке зайти на разделы криптованого винта експлорер матю кается что диск не форматирован. При загрузке СД разделы не читаются.
По моему он все-таки не до конца раскриптован. Я ж говорил, что глюк произошел примерно на 65% (начало отсчета 99%)

Мне сделать так?
1. pgpwde --uninstrument --disk 1
2. pgpwde --status --disk 1
3. Забутиться с виндового инсталяционного диска и выбрать рековери консоль.
4. Fixmbr

5. Попытаться загрузиться с криптованного винта.

....
— SATtva (12/07/2007 10:19, исправлен 12/07/2007 10:21)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Пункт 4 не обязателен, поскольку пункт 1 уже решит эту задачу. Под восстановлением Винды я имел в виду её переустановку (Repair или как оно там). Вы же писали, что вирус побил системные файлы. Конечно, для начала попробуйте просто запустить Винду, вдруг взлетит...
— ruslan_911 (13/07/2007 13:54)   профиль/связь   <#>
комментариев: 8   документов: 1   редакций: 1
SATtva К сожалению вчера я не смог выполнить рекомендации. Но у меня вопрос – а почему же тогда если диск уже декриптован, то вида не видит файлы в разделах, а пишет, что диск не форматирован. К тому же мне винду не обязательно восстанавливать. Я готов все установить с нуля. Мне бы только свою информацию извлечь. Или я смогу прочитать информацию только после команды

pgpwde --uninstrument --disk 1
— SATtva (13/07/2007 14:45)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Эта команда удаляет Bootguard из MBR-области диска. Я не знаю, как Windows относится к ситуации, если в MBR размещены нестандартные данные, а сам Bootguard не способен "подцепить" диск, поскольку тот не зашифрован или некорректно расшифрован. Короче, мне неизвестно, приведёт ли эта операция к какому-нибудь положительному результату. По крайней мере, она восстановит MBR, и если Винда продолжит ругаться, будет ясно, что файловая система повреждена сильнее, чем кажется.

Если это окажется так, то у меня есть ещё одно предложение: попробовать прочитать данные с диска в raw-режиме (под Windows это могут делать некоторые hex-редакторы; с ходу в голову приходит Hackman). Если сканирование помимо зашифрованного мусора обнаружит какие-то осмысленные данные, их можно будет восстановить как собственноручно, так и сдав винт в специализированную фирму.
— ruslan_911 (13/07/2007 17:12)   профиль/связь   <#>
комментариев: 8   документов: 1   редакций: 1
SATtva Спасибо за помощь.
Не теряю надежду востановить винт "естественным путем"
На данный момент запустил команду
pgpwde --recover --disk1 — passphrase XXXXXXX

Он сначала искал сигнатуру WDE, отсчитывал сектора в обратном порядке, а потом- как раз гдето на месте сбоя (около 65%) начал писать

SegmentEncryptDecrypt highwater: 146732224, limit: 76913998 to 156296384
SegmentEncryptDecrypt highwater: 146728128, limit: 76913998 to 156296384
SegmentEncryptDecrypt highwater: 146724032, limit: 76913998 to 156296384
SegmentEncryptDecrypt highwater: 146719936, limit: 76913998 to 156296384

Дождусь окончания процесса – сообщу результат.
Если ничего не поможет – то попробую вытаскивать что смогу в raw режиме. Может придется писать специальный посекторный декриптовщик.
Алгоритм известен, пароль тоже.
Вобщем буду бороться до конца. Данные пока дороже времени.
— SATtva (13/07/2007 17:34)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
SegmentEncryptDecrypt highwater: 146732224, limit: 76913998 to 156296384

Обнадёживает. Операцию должен завершить.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3