EcryptFS
Het maken van een clone van een versleuteld bestandssysteem is niet zozeer een probleem. Middels diverse tools zijn er mogelijkheden om een clone te maken van de hele harde schijf (een DD-image of forensische kopie). Als de schijf nog benaderbaar is kan eventueel ook een kopie gemaakt worden van de “benodigde” mappen en bestanden als bekend is welke dit zijn.
Hierna komt de uitdaging om de data inzichtelijk te maken. In ons geval hadden wij te maken met een filesysteem waarvan ook de map- en bestandsnamen waren versleuteld middels EcryptFS.
Deze bestanden zijn, als de encryptiesleutel e.g. fictievenaam.key en het wachtwoord bekend zijn te ontsleutelen.
Het ontsleutelen zal moeten gebeuren onder een linuxomgeving waarop ecryptfs is geïnstalleerd.
Hoewel bij een data-recovery de data soms niet meer op de “originele” plaats staat, zul je goed moeten kijken welke folder je gaat munten om de data inzichtelijk te krijgen.