VeraCrypt

Документация >> Использование в режиме командной строки

Использование в режиме командной строки

Информация в этом разделе относится к версии VeraCrypt для Windows. Чтобы получить сведения об использовании в режиме командной строки версий для Linux и Mac OS X, выполните следующую команду: veracrypt -h

 /help или /? Показать справку по использованию в командной строке.
 /truecrypt или /tc Активировать режим совместимости с TrueCrypt, который позволяет монтировать тома, созданные в TrueCrypt версий 6.x и 7.x.
 /hash После этого ключа указывается хеш-алгоритм PRF, используемый при монтировании тома. Возможные значения ключа /hash: sha256, sha-256, sha512, sha-512, whirlpool, blake2s и blake2s-256. Если ключ /hash не указан, VeraCrypt будет пробовать все доступные PRF-алгоритмы, тем самым увеличивая время монтирования.
 /volume или /v

После этого ключа указывается полное имя (с путём) файла с томом VeraCrypt для монтирования (не используйте при размонтировании) или идентификатор тома (Volume ID) диска/раздела для монтирования.
Синтаксис идентификатора тома следующий: ID:XXXXXX...XX, где часть с XX это строка из 64 шестнадцатеричных символов, которая представляет собой 32-байтовый идентификатор тома для монтирования.

Чтобы смонтировать том на основе раздела/устройства, используйте, например, параметры /v \Device\Harddisk1\Partition3 (узнать путь к разделу/устройству можно, запустив VeraCrypt и нажав кнопку Выбрать устройство). Монтировать раздел или динамический том также можно используя его имя тома (например, /v \\?\Volume{5cceb196-48bf-46ab-ad00-70965512253a}\). Узнать имя тома можно, например, с помощью mountvol.exe. Также помните, что в путях устройств учитывается регистр букв.

Для монтирования также можно указывать идентификатор монтируемого тома (Volume ID) на основе раздела/устройства, например: /v ID:53B9A8D59CC84264004DA8728FC8F3E2EE6C130145ABD3835695C29FD601EDCA. Значение идентификатора тома можно получить с помощью диалогового окна свойств тома.

 /letter или /l После этого ключа указывается буква диска, присваиваемая монтируемому тому. Если ключ /l не указан и используется ключ /a, тогда тому присваивается первая незанятая буква диска.
 /explore или /e Открыть окно Проводника после монтирования тома.
 /beep или /b Звуковой сигнал после успешного монтирования или размонтирования.
 /auto или /a Если этот ключ указан без параметров, то выполняется автоматическое монтирование тома. Если указан параметр devices (например, /a devices), то выполняется автомонтирование всех доступных в данный момент томов VeraCrypt на основе устройств/разделов. Если указан параметр favorites, то выполняется автомонтирование избранных томов. Обратите внимание, что ключ /auto подразумевается, если указаны ключи /quit и /volume. Если требуется подавить вывод на экран окна программы, используйте ключ /quit.
 /dismount или /d Размонтировать том с указанной буквой диска (пример: /d x). Если буква диска не указана, то будут размонтированы все смонтированные на данный момент тома VeraCrypt.
 /force или /f Принудительно размонтировать (если размонтируемый том содержит файлы, используемые системой или какой-либо программой) и принудительно смонтировать в совместно используемом (shared) режиме (то есть без эксклюзивного доступа).
 /keyfile или /k После этого ключа указывается ключевой файл или путь поиска ключевых файлов. Если ключевых файлов несколько, то они указываются, например, так: /k c:\keyfile1.dat /k d:\KeyfileFolder /k c:\kf2. Чтобы указать ключевой файл, находящийся на токене безопасности или смарт-карте, используйте следующий синтаксис: token://slot/SLOT_NUMBER/file/FILE_NAME
 /tryemptypass   Этот ключ применяется, только если сконфигурирован ключевой файл по умолчанию или ключевой файл указан в командной строке.
Если после этого ключа указан параметр y или yes, либо параметр не указан: попытаться смонтировать, используя пустой пароль и ключевой файл, прежде чем показать запрос пароля.
Если после этого ключа указан параметр n или no: не пытаться смонтировать, используя пустой пароль и ключевой файл, и сразу показать запрос пароля.
 /nowaitdlg Если после этого ключа указан параметр y или yes, либо параметр не указан: не показывать окно ожидания при выполнении таких операций, как, например, монтирование томов.
Если после этого ключа указан параметр n или no: принудительно показывать окно ожидания при выполнении операций.
 /secureDesktop Если после этого ключа указан параметр y или yes, либо параметр не указан: показывать окно пароля и окно пин-кода токена на выделенном безопасном рабочем столе для защиты от определённых типов атак.
Если после этого ключа указан параметр n или no: окно пароля и окно PIN-кода токена отображаются на обычном рабочем столе.
 /tokenlib После этого ключа указывается библиотека PKCS #11 для токенов безопасности и смарт-карт (пример: /tokenlib c:\pkcs11lib.dll).
 /tokenpin После этого ключа указывается пин-код для аутентификации с помощью токена безопасности или смарт-карты (пример: /tokenpin 0000). ВНИМАНИЕ: Этот метод ввода пин-кода смарт-карты может быть небезопасным, например, когда незашифрованный журнал истории командной строки сохраняется на незашифрованном диске.
 /cache или /c Если после этого ключа указан параметр y или yes, либо параметр не указан: включить кэш паролей.
Если после этого ключа указан параметр p или pim: включить кэш паролей и PIM (пример: /c p).
Если после этого ключа указан параметр n или no: отключить кэш паролей (пример: /c n).
Если после этого ключа указан параметр f или favorites: временно кэшировать пароль при монтировании нескольких избранных томов (пример: /c f).
Обратите внимание, что отключение кэша паролей не очищает его (чтобы очистить кэш паролей, используйте ключ /w).
 /history или /h Если после этого ключа указан параметр y или параметр не указан: включить сохранение истории смонтированных томов.
Если после этого ключа указан параметр n: отключить сохранение истории смонтированных томов (пример: /h n).
 /wipecache или /w Удалить все пароли, кэшированные (сохранённые) в памяти драйвера.
 /password или /p После этого ключа указывается пароль тома. Если в пароле есть пробелы, его необходимо заключить в двойные кавычки (пример: /p ”My Password”). Чтобы указать пустой пароль, используйте ключ /p ””. ВНИМАНИЕ: Такой метод ввода пароля может быть небезопасен, например, если на незашифрованном диске записывается незашифрованная история операций в командной строке.
 /pim После этого ключа указывается положительное целое число, определяющее PIM (Персональный множитель итераций) для использования с этим томом.
 /quit или /q Автоматически выполнить запрошенные действия и выйти (без отображения главного окна VeraCrypt). Если в качестве параметра указано preferences (пример: /q preferences), то будут загружены/сохранены настройки программы, и они переопределят параметры, указанные в командной строке. Ключ /q background запускает VeraCrypt в фоновом режиме (значок в области уведомлений), если только это не запрещено в настройках.
 /silent или /s При указании вместе с ключом /q подавляет взаимодействие с пользователем (запросы, сообщения об ошибках, предупреждения и т. д.). Если ключ /q не указан, этот параметр никакого действия не оказывает.
 /mountoption или /m

После этого ключа указывается один из перечисленных ниже параметров.

ro или readonly: смонтировать том как доступный только для чтения.

rm или removable: смонтировать том как сменный носитель (см. раздел Том, смонтированный как сменный носитель).

ts или timestamp: не сохранять дату и время изменения контейнера.

sm или system: смонтировать без предзагрузочной аутентификации раздел, входящий в область действия шифрования системы (например, раздел на зашифрованном системном диске с другой операционной системой, которая в данный момент не выполняется). Полезно, например, для операций резервного копирования или починки. Примечание: если вы указываете пароль как параметр ключа /p, убедитесь, что пароль набран с использованием стандартной американской раскладки клавиатуры (при использовании графического интерфейса программы это делается автоматически). Это необходимо потому, что пароль требуется вводить на этапе до загрузки операционной системы (до запуска Windows), когда раскладки клавиатуры, отличные от американской, ещё недоступны.

bk или headerbak: смонтировать том, используя встроенную резервную копию заголовка. Примечание: встроенная резервная копия заголовка содержится во всех томах, созданных VeraCrypt (эта копия располагается в конце тома).

recovery: не проверять контрольные суммы, хранящиеся в заголовке тома. Этот параметр следует использовать только при повреждении заголовка тома и когда такой том невозможно смонтировать даже с параметром headerbak. Пример: /m ro

label=LabelValue: использовать указанную строку LabelValue как метку смонтированного тома в Проводнике Windows. Максимальная длина LabelValue  – 32 символа для томов NTFS и 11 символов для томов FAT. Например, /m label=MyDrive установит для диска в Проводнике метку тома MyDrive.

noattach: создать только виртуальное устройство без фактического присоединения смонтированного тома к выбранной букве диска.

Обратите внимание, что этот ключ может присутствовать в командной строке несколько раз, чтобы указать несколько вариантов монтирования (пример: /m rm /m ts)

 /DisableDeviceUpdate  Отключить периодическую внутреннюю проверку устройств, подключённых к системе, которая используется для обработки избранного, идентифицированного с помощью идентификаторов томов (Volume ID), и заменить её проверками по требованию.
 /protectMemory  Активировать механизм защиты памяти процесса VeraCrypt от доступа со стороны других процессов без прав администратора.
 /signalExit  После этого ключа должен следовать параметр, определяющий имя отправляемого сигнала для разблокирования ожидания команды WAITFOR.EXE при завершении работы VeraCrypt.
Имя сигнала должно совпадать с указанным в команде WAITFOR.EXE (пример: veracrypt.exe /q /v test.hc /l Z /signal SigName с последующим waitfor.exe SigName
Если /q не указан, этот ключ игнорируется.

VeraCrypt Format.exe (Мастер создания томов VeraCrypt):

 /create Создать том на основе файла-контейнера в режиме командной строки. За этим ключом должно следовать имя файла создаваемого контейнера.
 /size

(Только с ключом /create)
После этого ключа указывается размер создаваемого файла-контейнера. Если указано просто число без суффикса, то оно обозначает размер в байтах. Если после числа добавить суффикс "K", "M", "G" или "T", то это будет означать размер, соответственно, в килобайтах, мегабайтах, гигабайтах или терабайтах. Примеры:

  • /size 5000000: размер контейнера – 5 000 000 байт
  • /size 25K: размер контейнера – 25 килобайт
  • /size 100M: размер контейнера – 100 мегабайт
  • /size 2G: размер контейнера – 2 гигабайта
  • /size 1T: размер контейнера – 1 терабайт
 /password (Только с ключом /create)
После этого ключа указывается пароль к создаваемому тому.
 /keyfile или /k (Только с ключом /create)
После этого ключа указывается ключевой файл или путь поиска ключевых файлов к создаваемому тому. Чтобы использовать несколько ключевых файлов, укажите, например, такие параметры: /k c:\keyfile1.dat /k d:\KeyfileFolder /k c:\kf2. Чтобы указать ключевой файл, расположенный на токене безопасности или смарт-карте, используйте следующий синтаксис: token://slot/SLOT_NUMBER/file/FILE_NAME
 /tokenlib (Только с ключом /create)
После этого ключа указывается библиотека PKCS #11 для использования с токенами безопасности и смарт-картами (пример: /tokenlib c:\pkcs11lib.dll).
 /tokenpin (Только с ключом /create)
После этого ключа указывается пин-код для аутентификации с помощью токена безопасности или смарт-карты (пример: /tokenpin 0000). ВНИМАНИЕ: Этот метод ввода пин-кода смарт-карты может быть небезопасным, например, когда незашифрованный журнал истории командной строки сохраняется на незашифрованном диске.
 /hash (Только с ключом /create)
После этого ключа указывается хеш-алгоритм PRF, используемый при создании тома. Синтаксис такой же, как у VeraCrypt.exe.
 /encryption (Только с ключом /create)
После этого ключа указывается используемый алгоритм шифрования. По умолчанию это AES, если данный ключ не указан. Возможны следующие значения (регистр букв не учитывается):
  • AES
  • Serpent
  • Twofish
  • Camellia
  • Kuznyechik
  • AES(Twofish)
  • AES(Twofish(Serpent))
  • Serpent(AES)
  • Serpent(Twofish(AES))
  • Twofish(Serpent)
  • Camellia(Kuznyechik)
  • Kuznyechik(Twofish)
  • Camellia(Serpent)
  • Kuznyechik(AES)
  • Kuznyechik(Serpent(Camellia))
 /filesystem (Только с ключом /create)
После этого ключа указывается файловая система для использования в томе. Возможны следующие значения:
  • Значение не указано: не использовать никакую файловую систему
  • FAT: форматировать в FAT/FAT32
  • NTFS: форматировать в NTFS (в этом случае появится окно с запросом UAC, если только процесс не выполняется с полными правами администратора)
  • ExFAT: форматировать в ExFAT (этот ключ доступен начиная с Windows Vista SP1)
  • ReFS: форматировать в ReFS (этот ключ доступен начиная с Windows 10)
 /dynamic (Только с ключом /create)
Создать динамический том.
 /force (Только с ключом /create)
Принудительная перезапись без запроса.
 /silent (Только с ключом /create)
Не показывать окна с сообщениями. Если произойдёт какая-либо ошибка, операция завершится без сообщений.
 /noisocheck или /n Не проверять правильность записи на носители дисков восстановления VeraCrypt (Rescue Disk). ВНИМАНИЕ: Никогда не пытайтесь применять этот ключ, чтобы облегчить повторное использование ранее созданного Диска восстановления VeraCrypt. Помните, что при каждом шифровании системного раздела/диска нужно создавать новый Диск восстановления VeraCrypt, даже если используете тот же пароль. Ранее созданный Диск восстановления нельзя использовать повторно, так как он был создан для другого мастер-ключа.
 /nosizecheck Не проверять Не проверять, что заданный размер файлового контейнера меньше, чем доступно на места на диске. Это относится как к пользовательскому интерфейсу, так и к командной строке.
 /quick Выполнять быстрое форматирование томов вместо полного форматирования. Это относится как к пользовательскому интерфейсу, так и к командной строке.
 /FastCreateFile Использовать более быстрый, хотя и потенциально небезопасный метод создания файловых контейнеров. Эта опция сопряжена с риском для безопасности, поскольку способна встроить существующее содержимое диска в файловый контейнер, что может привести к раскрытию конфиденциальных данных, если злоумышленник получит к нему доступ. Обратите внимание, что этот ключ влияет на все методы создания файловых контейнеров, независимо от того, запущены ли они из командной строки с параметром /create или с помощью мастера из интерфейса пользователя.
 /protectMemory  Активировать механизм защиты памяти процесса VeraCrypt Format от доступа со стороны других процессов без прав администратора.
 /secureDesktop Если после этого ключа указан параметр y или yes, либо параметр не указан: показывать окно пароля и окно PIN-кода токена на выделенном безопасном рабочем столе для защиты от определённых типов атак.
Если после этого ключа указан параметр n или no: окно пароля и окно PIN-кода токена отображаются на обычном рабочем столе.

Синтаксис

VeraCrypt.exe [/tc] [/hash {sha256|sha-256|sha512|sha-512|whirlpool |blake2s|blake2s-256}][/a [devices|favorites]] [/b] [/c [y|n|f]] [/d [буква диска]] [/e] [/f] [/h [y|n]] [/k ключевой файл или путь поиска] [tryemptypass [y|n]] [/l буква диска] [/m {bk|rm|recovery|ro|sm|ts|noattach}] [/p пароль] [/pim значение pim] [/q [background|preferences]] [/s] [/tokenlib путь] [/v том] [/w]

"VeraCrypt Format.exe" [/n] [/create] [/size число[{K|M|G|T}]] [/p пароль]  [/encryption {AES | Serpent | Twofish | Camellia | Kuznyechik | AES(Twofish) | AES(Twofish(Serpent)) | Serpent(AES) | Serpent(Twofish(AES)) | Twofish(Serpent) | Camellia(Kuznyechik) | Kuznyechik(Twofish) | Camellia(Serpent) | Kuznyechik(AES) | Kuznyechik(Serpent(Camellia))}] [/hash {sha256|sha-256|sha512|sha-512|whirlpool|blake2s|blake2s-256}] [/filesystem {пусто|FAT|NTFS|ExFAT|ReFS}] [/dynamic] [/force] [/silent] [/noisocheck] [FastCreateFile] [/quick]

Порядок, в котором указаны параметры, не имеет значения.

Примеры

Смонтировать том d:\myvolume на первую свободную букву диска, используя запрос пароля (основное окно программы не отображается):

veracrypt /q /v d:\myvolume

Размонтировать том, смонтированный как диск X (основное окно программы не отображается):

veracrypt /q /d x

Смонтировать том с именем myvolume.tc, используя пароль MyPassword, как диск X. VeraCrypt откроет окно Проводника и подаст звуковой сигнал; монтирование будет автоматическим:

veracrypt /v myvolume.tc /l x /a /p MyPassword /e /b

Создать файловый контейнер размером 10 МБ, используя пароль test, шифрование Serpent, хеш SHA-512, и отформатировав том в FAT:

"C:\Program Files\VeraCrypt\VeraCrypt Format.exe" /create c:\Data\test.hc /password test /hash sha512 /encryption serpent /filesystem FAT /size 10M /force