Bitlocker-VHD unter Debian Stable mounten

[Teufelskreis]

Hi,

ich habe eine mit Bitlocker verschlüsselte VHD-Datei, wo ich gerne den Inhalt sehen würde. Eine verschlüsselte Partition kann ich ja mit dislocker entschlüsseln, leider komme ich gar nicht dazu, die VHD-Datei zu mounten.

Der betroffende Computer läuft mit Debian 9 Stable. Was habe ich probiert?

[src=bash]
sudo guestmount -a verschluesselt.vhd -i ./mount/
guestmount: no operating system was found on this disk

If using guestfish '-i' option, remove this option and instead
use the commands 'run' followed by 'list-filesystems'.
You can then mount filesystems you want by hand using the
'mount' or 'mount-ro' command.

If using guestmount '-i', remove this option and choose the
filesystem(s) you want to see by manually adding '-m' option(s).
Use 'virt-filesystems' to see what filesystems are available.

If using other virt tools, this disk image won't work
with these tools. Use the guestfish equivalent commands
(see the virt tool manual page).
[/src]

Zweiter Versuch:
[src=bash]
guestmount -a verschluesselt.vhd -m /dev/sda1 --ro ./mount/
libguestfs: Fehler: mount_options: /dev/sda1 on / (options: 'ro'): mount: wrong fs type, bad option, bad superblock on /dev/sda1,
missing codepage or helper program, or other error

In some cases useful info is found in syslog - try
dmesg | tail or so.
guestmount: »/dev/sda1« konnte nicht eingehängt werden.
guestmount: Did you mean to mount one of these filesystems?
guestmount: /dev/sda1 (unknown)[/src]

War einer von euch schon mal erfolgreicher als ich oder hätte einen Tipp? vdfuse funktioniert nicht, obwohl ich dafür extra virtualbox installiert habe

 

[Metal_Warrior]

@Teufelskreis: /dev/sda1 ist definitiv falsch, weil das die erste Partition deiner ersten HDD/SSD ist. Hast du dir schon mal die Partitionen anzeigen lassen, die in der Datei vorhanden sind? Die musst du mounten, nicht deine eigene. Wobei ich es eigentlich gewohnt bin, dass unter Debian Verschlüsselung transparent abläuft, d. h. man entschlüsselt erst die Datei/Partition auf einen Blockdatei in /dev/mapper, und mounted dann diese Datei wie eine normale Partition.

 

[Teufelskreis]

Hi,

danke für deine Antwort. Die VHD wurde mit den größten Legacy-Einstellungen unter Windows erzeugt und als NTFS formatiert, daran anschließend wurden die Dateien auf die NTFS-Partitionen kopiert und das ganze dann per BitLocker verschlüsselt. Diese Datei liegt nun auf einem Debian-System vor und muss dort entschlüsselt werden.

Dass /dev/sda1 prinzipiell falsch sein muss, dachte ich mir auch schon. Ich habe mir die Partitionen dann nochmal unter Linux genauer angesehen, wirklich weiter gekommen bin ich aber nicht:

[src=bash]
# sudo vhdimount -X allow_root verschluesselt.vhd ./mount/
vhdimount 20160424

# sudo ls -la ./mount
insgesamt 4
dr-xr-xr-x 2 root root 0 Okt 2 10:22 .
drwxrwxrwx 1 root root 4096 Sep 30 18:59 ..
-r--r--r-- 1 root root 524288000 Okt 2 10:22 vhdi1

# sudo mmls -aB ./mount/vhdi1
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors

Slot Start End Length Size Description
002: 000:000 0000000128 0001017983 0001017856 0497M NTFS / exFAT (0x07)

# sudo dislocker -v -r -V ./mount/vhdi1 -p<Wiederherstellungsschlüssel> -- /mnt/dislocker/sdc1/
Mon Oct 2 10:27:56 2017 [ERROR] Failed to open file './mount/vhdi1': Permission denied
Mon Oct 2 10:27:56 2017 [ERROR] The signature of the volume (м) doesn't match the BitLocker's ones (-FVE-FS- or MSWIN4.1). Abort.

# sudo chmod 755 ./mount
chmod: Beim Setzen der Zugriffsrechte für './mount': Die angeforderte Funktion ist nicht implementiert
[/src]

Und das lässt mich relativ ahnungslos zurück... Man findet beim googlen massig Anleitungen, um ganze verschlüsselte Partitionen zu mounten, hier aber ist nur eine Datei verschlüsselt worden, nach der Anleitung, die der Macher von TrueCrypt kurz nach seinem Abgang auf der offiziellen TrueCrypt-Seite veröffentlicht hat.

Vielleicht hat ja einer von euch eine schlaue Idee

Edit: Was auch nicht funktioniert hat, ist folgendes:

[src=bash]
# sudo mount -vt ntfs-3g -o rw,offset=0 ./mount/vhdi1 /media/user/bitlocker/
NTFS signature is missing.
Failed to mount '/dev/loop0': Das Argument ist ungültig
The device '/dev/loop0' doesn't seem to have a valid NTFS.
Maybe the wrong device is used? Or the whole disk instead of a
partition (e.g. /dev/sda, not /dev/sda1)? Or the other way around?
[/src]

 

[Metal_Warrior]

@Teufelskreis: Probier mal sudo mount -vt ntfs-3g -o rw,offset=128 ./mount/vhdi1 /media/user/bitlocker/

Das Ding mit Offset 0 ist nämlich die Partitionstabelle, da würde es mich wundern, wenn er was mit NTFS finden würde.

 

[Teufelskreis]

Hallo,

auch das führt leider zum gleichen Fehler... Ich werde noch ein bisschen rumprobieren, aber ansonsten bleibt wohl nichts übrig als das VHD in einer Windows 10-VM zu entschlüsseln und in ein Linux-freundlicheres System zu überführen. Merkwürdig, vielleicht kann ich im github vom Entwickler von dislocker auch nochmal nachfragen, ob der Weg überhaupt vorgesehen ist.

 

[Metal_Warrior]

@Teufelskreis: Ich glaube, dein Hauptproblem ist das hier:
[src=bash] sudo dislocker -v -r -V ./mount/vhdi1 -p<Wiederherstellungsschlüssel> -- /mnt/dislocker/sdc1/
Mon Oct 2 10:27:56 2017 [ERROR] Failed to open file './mount/vhdi1': Permission denied
Mon Oct 2 10:27:56 2017 [ERROR] The signature of the volume (м) doesn't match the BitLocker's ones (-FVE-FS- or MSWIN4.1). Abort.[/src]

Also ist der Container anscheinend leicht kaputt.

 

[Teufelskreis]

Okay, wir waren sehr nah dran. Inzwischen konnte ich den Dateiinhalt erfolgreich mounten. Du hattest recht, es war ein Offset-Problem, man bräuchte aber nicht offset 128 (mmls hat den Offset in „sectors“ von 512 Bytes angegeben), sodass man Offset=128*512=65536 wählen musste, wobei die Sektorgröße auch vom mmls-Befehl oben angezeigt wurde. Dieses Offset hat man dann dem dislocker-Programm übergeben, das hat einem dann im gewünschten Pfad ein dislocker-File angelegt, was man per mount -o ro,loop mounten konnte. Mit rw gibts einen Fehler, aber lesendes mounten reicht völlig. Ich werd hier später vielleicht noch ein Skript anhängen, falls jemand über Google mit dem gleichen Problem landet

Vielen Dank für deine kompetente Hilfe!

 

[Teufelskreis]

Hier, wie versprochen, das Skript:
Benötigte installierte Software:
[src=bash]sudo apt install libvhdi-utils sleuthkit dislocker[/src]


Dann muss ein ausführbares Skript an einer beliebigen Stelle mit folgendem Inhalt erstellt werden:
[src=bash]
#!/bin/bash

# Manual: give -v argument but leave the rest to find offset
# leave -p to type user's password to stdin. Give with -p to type restore
# key. -t is folder where the vhd is mounted to.
while getopts v:t: option
do
case "${option}"
in
# Position of the encrypted VHD file
v) VHD=${OPTARG};;
# Offset, find it by leaving -o, -t and -p blank
o) OFFSET=${OPTARG};;
# where the vhd should be mounted to
t) TARGET=${OPTARG};;
# restore key
p) RESTORE=${OPTARG};;
esac
done
if [ -z $OFFSET ]
then
mkdir -p -v /mnt/vhd
vhdimount -X allow_root "$VHD" /mnt/vhd
mmls -aB /mnt/vhd/vhdi1
umount /mnt/vhd
elif [ -z $RESTORE ]
then
mkdir -p -v /mnt/vhd
mkdir -p -v $TARGET
mkdir -p -v /mnt/dislocker
vhdimount -X allow_root "$VHD" /mnt/vhd
dislocker-fuse -V /mnt/vhd/vhdi1 -o $OFFSET -u -- /mnt/dislocker

sudo mount /mnt/dislocker/dislocker-file "$TARGET" -o ro,loop

echo "VHD file decrypted and mounted successfully"
else
mkdir -p -v /mnt/vhd
mkdir -p -v $TARGET
mkdir -p -v /mnt/dislocker
vhdimount -X allow_root "$VHD" /mnt/vhd
dislocker-fuse -V /mnt/vhd/vhdi1 -o $OFFSET -p$RESTORE -- /mnt/dislocker
sudo mount /mnt/dislocker/dislocker-file "$TARGET" -o ro,loop

echo "VHD file decrypted and mounted successfully"
fi

[/src]

Lese das benötigte Offset aus:
[src=bash]sudo ./DATEINAME.sh -v PFAD_ZUR_VHD[/src]

und berechne das Offset, indem die Zahl x in "Units are in x-byte Sectors" mit der Zahl y in "Start" multipliziert wird (z.B. 512*128).

Übergebe dieses Offset dann gemeinsam mit dem Ziel und dem Restore-Key ans Skript:

[src=bash]sudo ./vhd-mount.sh -v PFAD_ZUR_VHD -o GEFUNDENES_OFFSET -t PFAD_WOHIN_GEMOUNTET_WERDEN_SOLL (z.B. /media/user/bitlocker) -p RESTORE_KEY
[/src]
Das ganze geht auch ohne -p Argument, dann fragt das Skript nach dem Passwort zum entschlüsseln (statt Wiederherstellungsschlüssel)