用wordlist恢复truecrypt全磁盘加密

Question

我正在清理一个硬盘，不幸的是忘记了密码。我将使用TrueCrack对它运行一个单词列表，但是，对于如何提取要运行tc的卷头，我有点困惑。

https://www.truecrypt71a.com/documentation/technical-details/truecrypt-volume-format-specification/

磁盘的第一扇区包含MBR (446位MBR +4字节分区表)。MBR显然是一个truecrypt，因为我被提示输入密码。我假设TC MBR代码针对活动分区的第一个字节尝试密码。

我可能错了，因为当我取出磁盘时，我得到了一个错误，说明“未能读取磁盘0扇区62”。上面的文档还使它看起来不仅仅是使用了最初的512字节。

我的目标是简单地DD卷头(或任何我需要的)离开驱动器，并运行Truec齿条对它。

Answer 1

TrueCrypt MBR不进行任何密码检查，因为在实际模式下不可能在446字节的空间内为AES、Twofish、Serpent、SHA512、RIPEMD-160、Whirlpool和PBKDF2实现代码。MBR所做的就是加载引导加载器的其余部分(这称为分阶段引导加载程序)。引导加载程序负责为您提供提示、检查密码和完成引导。

您为卷格式链接的URL仅用于卷本身，而卷本身不包括MBR。它很可能是从TrueCrypt分区开始的，而不是磁盘的最开始。