恢復被覆蓋的 LUKS 分區

有沒有辦法恢復被覆蓋的 LUKS 分區？考慮以下情況：

我有一個（外部）硬碟驅動器（不是 SSD），它是完全 LUKS 加密的，包含一個帶有一些（重要）數據（在我的情況下為圖像和影片）的 ext4 文件系統。密碼是已知的。我沒有 LUKS 標頭備份。

現在我不小心在該驅動器上創建了一個新的 LUKS 分區（它覆蓋了舊分區）和一個新的 ext4 文件系統。然後我複制了一些新數據（在我的情況下是我筆記型電腦的一些備份數據；160 GB（外部驅動器的大小為 1TB）。

有沒有辦法用所有數據或至少圖像和影片（可能沒有文件名）恢復舊的 LUKS 分區。

編輯：附加問題

1. 有沒有辦法按位恢復最後的操作（即數據傳輸到新分區、創建 ext4 文件系統和創建 LUKS 卷）？
2. 如果分析磁碟表面的磁性結構，也許這種逆轉在物理層面上是可能的？法醫專業人士能做到嗎？
3. 在這種情況下，法醫專業人員會嘗試其他有希望的方法嗎？
4. 如前所述，我沒有備份舊卷的 LUKS 標頭。但是，正如frostschutz 所指出的，如果我在事故發生前打開了舊卷並且沒有重新啟動，則可能會在記憶體中找到標題（但在我的情況下我確實重新啟動了）。還有其他地方可以搜尋標題嗎？我通常使用 pmount 工具安裝舊卷。

恐怕沒有標頭備份就沒有機會。

僅當 LUKS 標頭可用且在密鑰槽中具有該密碼時，該密碼才有用。沒有它，幾乎沒有辦法恢復音量鍵。

LUKS 設計的一部分是，如果 LUKS 標頭被擦除（以及任何備份），那麼在取證上訪問容器是不可行的。

如果您損壞了 LUKS 標頭，並且 LUKS 容器仍未打開（由於意外未重新啟動並且dmsetup table --showkeys仍然具有原始容器，而不是您製作的新容器），則無法恢復任何加密數據。它消失了。

這樣就可以恢復舊的未加密數據（如果加密時未擦除驅動器）。

除了從第三方來源恢復數據 - 根據這些圖像和影片的原始來源，您也許可以從相機 SD 卡或其他東西中恢復一些數據。如果您曾經為任何人複製它們，或者在將它們放在外部驅動器上之前將它們儲存在內部，那麼您可能會在那裡找到一些東西。

但是不要抱太大希望，SSD 恢復的機會也很小（由於 TRIM 清理了可用空間）。

本質上，這是您從備份中恢復的情況，或者 - 不是。

引用自：https://unix.stackexchange.com/questions/515708