恢复被 eCryptfs 加密的数据: UFS Explorer Professional Recovery

恢复被 eCryptfs 加密的数据: UFS Explorer Professional Recovery

2024-01-02 11:09:47
eCryptfs 是一种应用广泛的加密文件系统,可以对某些文件或目录进行选择性保护。虽然它可靠易用,但当需要恢复已删除或丢失的加密数据时,可能会带来一些挑战。如果没有适当的解密措施,检索到的数据将毫无价值,甚至授权用户也无法访问。幸运的是,UFS Explorer Professional Recovery 使还原和解密使用 eCryptfs 加密的文件变得简单,如下所示。
内容:
  • eCryptfs 介绍
  • 在 NAS 设备的加密共享文件夹上恢复文件
  • 从 Linux 下的加密主文件夹还原数据
eCryptfs 介绍
eCryptfs是Linux上流行的加密软件包。它在大多数 Linux 发行版的标准存储库中可用,并且通常被 NAS 供应商用于加密群晖 Synology、威联通 QNAP、Asustor、TerraMaster 等设备上的共享文件夹。eCryptfs 不是加密整个驱动器,而是可以保护包含敏感信息的单个文件和目录。它还允许加密文件和目录名称。加密元数据直接存储在文件的标头中,这使得加密项彼此独立。
其部署的整个过程非常简单,结果通常如下所示:
  • 文件名由固定前缀“ECRYPTFS_FNEK_ECRYPTED.”组成,后跟 base64 编码的“加密 ID”和 base64 编码的加密文件名;

点击输入图片描述(最多30字)
  • 文件的标头具有指示加密的特定格式;

点击输入图片描述(最多30字)
  • 实际文件的内容是加密的。
当此类文件被意外删除或丢失时,使用数据恢复软件可以检索到它。然而,由于它的数据是加密的,仍然必须通过有效凭据解锁。可以通过存储文件加密密钥(“加密密码”)的“包装密码”文件或密码本身来完成,密码必须保留为备份副本。
UFS Explorer Professional Recovery 能够解密由各种配置的 eCryptfs 加密的数据,并可以进一步顺利地处理获得的内容。让我们看看如何使用此数据恢复软件处理 eCryptfs 的不同实例。
在 NAS 设备的加密共享文件夹上恢复文件
在第一个示例中,我们有一个群晖 Synology NAS 设备,其“受保护”共享文件夹使用 eCryptfs 加密。

点击输入图片描述(最多30字) 与大多数 NAS 设备一样,该设备采用了简单的 eCryptfs 加密。它使用固定的标准“包装密钥”,而不是从用户密码生成的包装密钥。此密钥用于加密用户定义的“加密密码”,而该密码短语又用于加密给定共享文件夹中的文件。
“加密密码短语”以被“包装”的形式存储在一个特殊的“*.key”文件中。

点击输入图片描述(最多30字) 然而,必须提到的是,来自其他供应商的NAS设备,例如西部数据可能有自己的eCryptfs配置设置及其相应的解密信息。其“加密密码”的备份文件也可能具有不同的格式或位置。
如果正确的“加密密码”或原始的“*.key”文件可用,则可以解密我们 Synology NAS 上的共享文件夹。
使用 UFS Explorer Professional Recovery 组装 Synology NAS 后,我们可以通过该程序检查其“数据”分区的内容。

点击输入图片描述(最多30字) 要访问 NAS 上的共享文件夹列表,需要打开“@syno”文件夹,然后转到“@eaDir”文件夹。

点击输入图片描述(最多30字) 在与“受保护”共享文件夹对应的文件夹中找到的“SYNO@.encrypt”文件显示它已被加密。

点击输入图片描述(最多30字) 实际的加密数据存储在根目录的另一个文件夹中,具有相同的名称,但前后是“@”符号。

点击输入图片描述(最多30字) 要解密文件,我们可以打开文件系统对象的右键菜单,然后选择“转换文件系统文件”选项。

点击输入图片描述(最多30字) 在打开的对话框中,在“解密密码”字段中指定创建共享文件夹时使用的加密密码。

点击输入图片描述(最多30字) 结果,软件中出现了一个新的“eCryptfs过滤器文件系统”选项卡。此选项卡包含与提供的密码匹配的解密文件。

点击输入图片描述(最多30字) 如果忘记了解密密码,也可以从导出的备份“*.key”文件中导出。从 UFS Explorer Professional Recovery 主菜单的“工具”项中,可以找到 “eCryptfs password unwrap” 选项。

点击输入图片描述(最多30字) 在打开的对话框中,浏览到备份“*.key”文件的位置,来设置“密钥文件路径”。

点击输入图片描述(最多30字) 之后,选择“Synology NAS 默认密码”选项,然后单击“unwrap”,从此文件中获取我们的加密密码。

点击输入图片描述(最多30字) 计算出的加密密码可以复制到剪贴板,并在“转换文件系统文件”选项的帮助下用于文件解密。

点击输入图片描述(最多30字) 从 Linux 下的加密主文件夹还原数据
与大多数 NAS 平台不同,Linux 允许通过 eCryptfs 的全功能实现来加密用户的主文件夹。默认情况下,它会创建一个随机文件加密密钥,并且需要用户的密码才能将其从“包装的密码短语”文件中“解包”。这种方法使系统能够支持用户密码的更改,但在文件夹解密方面使事情变得更加复杂。只有在用户的密码(“登录密码”)和“包装密码”文件都可用的情况下,才能执行此操作。
让我们来看看以下 Ubuntu 示例。“User”用户的主文件夹未加密,而“Test 用户已为其主文件夹启用加密。

点击输入图片描述(最多30字) 加密内容位于“.ecryptfs”文件夹中与“测试”用户对应的文件夹的".private"子文件夹中。

点击输入图片描述(最多30字) “.ecryptfs”子文件夹包含“包装密码”文件。我们可以将此文件保存到其他位置,以便进一步提取原始加密密钥。

点击输入图片描述(最多30字) 现在我们可以应用 UFS Explorer Professional Recovery 主菜单的“工具”项中的“eCryptfs密码解包”选项,以从文件中“解包”文件加密密钥。

点击输入图片描述(最多30字) 在打开的对话框中,我们使用“密钥文件路径”选项加载“包装密码”文件,然后将用户的密码(“登录密码”)指定为“包装密码”以解密随机文件加密密钥。

点击输入图片描述(最多30字) 按下“解包”按钮后,程序将显示可以复制到剪贴板的文件加密密钥。

点击输入图片描述(最多30字) 现在我们可以继续执行“转换文件系统文件”选项,该选项显示在文件系统对象的上下文菜单中。

点击输入图片描述(最多30字) 在打开的对话框中,我们将复制的随机加密密钥粘贴到“解密密码”字段中,并将“文件名密钥长度”属性更改为 128 位。

点击输入图片描述(最多30字) 但是,请注意,eCryptfs 的特定实例不包含用于文件名解密的密钥长度信息。如果选择了错误的密钥长度,则即使使用有效的用户密码,也无法正确解密文件名。如果发生这种情况,请尝试使用其他密钥长度选项。

点击输入图片描述(最多30字) 点击“确定”后,软件将打开一个新的“eCryptfs过滤器卷”,其中包含我们“测试”用户的解密主文件夹。