ПОМОГИТЕ! Проблема с PGP WDE. Не могу прочитать информацию.
Местные гуру, помогите спасти информацию с винчестера.
Ситуация:
Ноутбук, единственный винт на 80гб (загрузочный) полностью закриптован WDE (PGP 9.0.0 Build 2001). На винте 2 раздела FAT32.
Все работало прекрасно, пока не совпали несколько фатальных факторов. Вирус запорол группу файлов *.sys (один из которых d386bus.sys). Винда XP Home не хочет подниматься ни в безопасный режим, ни в консольный – никуда.
Bootguard стартует нормально, спрашивает пасс, грузит винду и все останавливается на том что не найден d386bus.sys
Использовал Recovery CD от PGP 9.0.6. Он увидел винт. Я ввел пасс, затем сказал декриптовать диск. Все было ок, % благополучно показывал приближения к happy end. Где-то на 65% я вышел на 10 мин из комнаты и конгда вернулся – то увидел меню загрузки виндовс. То есть как будто пошла загрузка с винта нажато F8. Вбщем меджик какой-то. Я было подумал, что он оставшиеся 65% за 5 мин. прохавал и декриптовал винт, но перегрузка упорно начинала с бутгварда. Все работало прекрасно, пока не совпали несколько фатальных факторов. Вирус запорол группу файлов *.sys (один из которых d386bus.sys). Винда XP Home не хочет подниматься ни в безопасный режим, ни в консольный – никуда.
Bootguard стартует нормально, спрашивает пасс, грузит винду и все останавливается на том что не найден d386bus.sys
C этого момента рековери сд вообще матюкается и пешет чего-то типа Internal error ... 0x80... System halted (пишу по памяти)
Установив винт в другую машину с установленным PGP. PGP Desktop винт видит, пишет Encrypted: disk locked. Please reinsert (тоже пишу по памяти)
Спасите! 2 года работы висит на волоске (Резервов не было – посыпаю голову пеплом) ;-(
Может есть какой-то способ примонтировать диск, ввести пароль и получить доступ к файлам.
Что делать? Подскажите.
Меня вот это смущает:
Выглядит так, как будто в процессе расшифрования диска комп сбросило из-за скачка напряжения, но вот то, что у Вас лаптоп, данную версию опровергает.
Каких-то особо ценных предложений у меня пока нет. Уточните, какая версия PGP установлена на втором компе, куда подключали винт? Вот ещё что: если из консоли выполнить pgpwde --status --disk <num>[link1] (см. подробнее о команде по ссылке, но для второго диска здесь нужно указать 1), что выдаст программа? Можете привести здесь её ответ?
SATtva – огромное спасибо за помощь.
PGP Desktop 9
9.0.0 [Build 2001]
PGP SDK 3.5.0
– Точно такая же как и на моем ноуте (тот же инстал)
C:\Program Files\PGP Corporation\PGP Desktop>pgpwde --status --disk 1
Get Volume Information E status: Get Volume Information F status: Disk 1 is instrumented by bootguard.
Invalid stage2 start sector.
P. S.: SATtva У меня появилась надежда на свет в конце тунеля.
Дополнительная информация (возможно пригоится):
C:\Program Files\PGP Corporation\PGP Desktop>pgpwde --disk 1 --disk-info
Get Volume Information E status: Get Volume Information F status: Disk information for disk 1.
Disk is fixed.
Total number of sectors on disk: 156296385
А что если зайти в рековери от Windows CD и попробовать fixmbr
Может это исправит ошибку
Что скажете.
P. S. Только что сделал резервный имидж пострадавшего винта акронисом.
Ага, интересно. Значения Highwater нет, т.е. по логике диск был полностью расшифрован, остался только загрузчик bootguard. В принципе, можно просто снять загрузчик (команду приведу чуть позднее), но хочу задать ещё один вопрос: учитывая, что винт сейчас подключен к рабочей машине, Вы пробовали открыть содержимое этих дисков с неё? Что говорит Windows? "Диск не отформатирован" или что-то типа этого?
Прежде чем перейти к снятию Bootguard было бы желательно, если бы сделали резервную копию образа дисков. Сделать это можно программами типа Norton Ghost. Это просто на всякий случай, чтобы случайно не усугубить ситуацию.
Вот что выдает PGP Desktop:
http://slil.ru/24622265
Картика с PGP Desktop[link2]
Пока писал свой ответ, не заметил, что Вы уже ответили. :-)
Тогда выполняйте из консоли:
pgpwde --uninstrument --disk 1
pgpwde --status --disk 1
Вторая команда должна сообщить, что диск больше "not instrumented by bootguard". Подключайте винт к неработоспособной машине, запускайте её и восстанавливайте Винду.
Я имел в виду открытие диска через Проводник или другой файловый менеджер.
При попытке зайти на разделы криптованого винта експлорер матю кается что диск не форматирован. При загрузке СД разделы не читаются.
По моему он все-таки не до конца раскриптован. Я ж говорил, что глюк произошел примерно на 65% (начало отсчета 99%)
Мне сделать так?
1. pgpwde --uninstrument --disk 1
2. pgpwde --status --disk 1
3. Забутиться с виндового инсталяционного диска и выбрать рековери консоль.
4. Fixmbr
5. Попытаться загрузиться с криптованного винта.
....
Пункт 4 не обязателен, поскольку пункт 1 уже решит эту задачу. Под восстановлением Винды я имел в виду её переустановку (Repair или как оно там). Вы же писали, что вирус побил системные файлы. Конечно, для начала попробуйте просто запустить Винду, вдруг взлетит...
SATtva К сожалению вчера я не смог выполнить рекомендации. Но у меня вопрос – а почему же тогда если диск уже декриптован, то вида не видит файлы в разделах, а пишет, что диск не форматирован. К тому же мне винду не обязательно восстанавливать. Я готов все установить с нуля. Мне бы только свою информацию извлечь. Или я смогу прочитать информацию только после команды
pgpwde --uninstrument --disk 1
Эта команда удаляет Bootguard из MBR-области диска. Я не знаю, как Windows относится к ситуации, если в MBR размещены нестандартные данные, а сам Bootguard не способен "подцепить" диск, поскольку тот не зашифрован или некорректно расшифрован. Короче, мне неизвестно, приведёт ли эта операция к какому-нибудь положительному результату. По крайней мере, она восстановит MBR, и если Винда продолжит ругаться, будет ясно, что файловая система повреждена сильнее, чем кажется.
Если это окажется так, то у меня есть ещё одно предложение: попробовать прочитать данные с диска в raw-режиме (под Windows это могут делать некоторые hex-редакторы; с ходу в голову приходит Hackman[link3]). Если сканирование помимо зашифрованного мусора обнаружит какие-то осмысленные данные, их можно будет восстановить как собственноручно, так и сдав винт в специализированную фирму.
SATtva Спасибо за помощь.
Не теряю надежду востановить винт "естественным путем"
На данный момент запустил команду
pgpwde --recover --disk1 — passphrase XXXXXXX
Он сначала искал сигнатуру WDE, отсчитывал сектора в обратном порядке, а потом- как раз гдето на месте сбоя (около 65%) начал писать
SegmentEncryptDecrypt highwater: 146732224, limit: 76913998 to 156296384
SegmentEncryptDecrypt highwater: 146728128, limit: 76913998 to 156296384
SegmentEncryptDecrypt highwater: 146724032, limit: 76913998 to 156296384
SegmentEncryptDecrypt highwater: 146719936, limit: 76913998 to 156296384
Дождусь окончания процесса – сообщу результат.
Если ничего не поможет – то попробую вытаскивать что смогу в raw режиме. Может придется писать специальный посекторный декриптовщик.
Алгоритм известен, пароль тоже.
Вобщем буду бороться до конца. Данные пока дороже времени.
Обнадёживает. Операцию должен завершить.