EcryptFS

Data recoveren van een ecryptfs bestandssysteem

EcryptFS

Het maken van een clone van een versleuteld bestandssysteem is niet zozeer een probleem. Middels diverse tools zijn er mogelijkheden om een clone te maken van de hele harde schijf (een DD-image of forensische kopie). Als de schijf nog benaderbaar is kan eventueel ook een kopie gemaakt worden van de “benodigde” mappen en bestanden als bekend is welke dit zijn.

Hierna komt de uitdaging om de data inzichtelijk te maken. In ons geval hadden wij te maken met een filesysteem waarvan ook de map- en bestandsnamen waren versleuteld middels EcryptFS.

Deze bestanden zijn, als de encryptiesleutel  e.g. fictievenaam.key en het wachtwoord bekend zijn te ontsleutelen.
Het ontsleutelen zal moeten gebeuren onder een linuxomgeving waarop ecryptfs is geïnstalleerd.

Hoewel bij een data-recovery de data soms niet meer op de “originele” plaats staat, zul je goed moeten kijken welke folder je gaat munten om de data inzichtelijk te krijgen.

 

Photorec

Met hulp van Photorec is het mogelijk om te zoeken naar al dan niet verwijderde ecryptfs bestanden. Deze bestanden worden vervolgens geëxporteerd met als extensie eCryptfs.
Deze bestanden zijn, als de encryptiesleutel  e.g. fictievenaam.key en het wachtwoord bekend zijn te ontsleutelen.
Het ontsleutelen zal moeten gebeuren onder een linuxomgeving waarop ecryptfs is geïnstalleerd.

 

Wat belangrijk is in het hele proces is om onder Linux een keer uit en in te loggen na het munten van de gedecrypte data.
Pas hierna wordt de data zichtbaar voor de gebruiker.

Goede startpunten om te beginnen met de decryptie van de data zijn:

Askubutu en Superuser.com

 

Mireille P. de Meijer
Whatsapp
1
Hulp nodig?
Klik op de Whatsapp knop om contact te leggen.