3 Partitionen wiederherstellen, eine davon verschlüsselt

Das FBI

Newbie
Registriert
Juli 2016
Beiträge
6
Hallo,

wäre cool, wenn ihr mir bei der Datenrettung helfen könntet.

Ursprünglich hatte ich 3 Partitionen auf meiner 1 TB Festplatte:

C: Windows, unverschlüsselt (NTFS)
D: 2 Truecrypt Container drauf (NTFS)
E: komplette Partition mit TC verschlüsselt

Nach einem Bluescreen wird die gesamte Festplatte jetzt als eine primäre FAT Partition angezeigt, Windows wird nicht mehr geladen.

testdisc erkennt "none" als partition table type. Wenn ich "Intel" auswähle, zeigt sich nach einer Deeper Search folgendes Bild:

testdisc_resultat.jpg

TestCrypt findet im Modus Automatic nichts.

Kann mir bitte jemand sagen, was ich wo eingeben muss, um die Partitionen wiederherzustellen?

Von den 2 verschlüsselten Containern und der Partition habe ich noch die TrueCrypt Header Backups.

Vielen Dank.
 
Sun_set_1 schrieb:
Windows-InstallationsDVD rein, Kommandozeilentool aufrufen und CHKDSK + fixBoot / fixmbr ausführen.

https://kb.wisc.edu/page.php?id=6565

https://www.windowspro.de/andreas-k...en-unter-windows-7-und-windows-server-2008-r2

Das war nach dem Bluescreen und der Fehlermeldung "Fehler beim Laden des Betriebssystems" das erste, was ich gemacht habe.

fixmbr und fixboot c haben erst zu der großen FAT16 Partition geführt. Vorher war nur die Windows-Partition (in gparted) nicht lesbar, die anderen beiden noch intakt.
 
Das hättest du lassen sollen... das hat unter Umständen noch mehr Schaden angerichtet.
Als aller erstes solltest du dir eine zweite Platte besorgen und ein 1zu1 Sektor Image auf dieser erzeugen und dann nur mit der Kopie Expertimente machen und nicht weiter mit dem Original.
 
Und dann?

So wie ich das sehe, sind die 3 Partitionen ja noch da. testdisc findet C und D und erkennt sie als NTFS.
Die als FAT16 angezeigte Partition wird dann wohl die mit TrueCrypt verschlüsselte Partition E sein. Da sie verschlüsselt ist, kann testdisk damit aber nichts anfangen.

Kann ich jetzt nicht einfach mit "write" in testdisc die Partitionstabelle neu schreiben lassen? Oder besteht dabei ein Risiko für die verschlüsselte Partition? Muss ich in TestCrypt noch nach selbiger suchen? Hilft mir das Backup vom Header irgendwie?
 
Mit Linux Live-CD hochfahren, die verschlüsselte Platte in Linux entschlüsseln die Backupheader hast Du ja. (gibt tools, einfach googlen)

Dann versuchen mit GParted und/ oder ntfsfix die Partitionen wieder zu richten. Die Partitionen sind ja da, es hat sich nur sämtliche Header zerschossen.
FixMbr / CHKDSK hat falsche angelegt, da noch die verschlüsselte Partition vorhanden war und nicht erkannt werden konnte. War doof, hatte ich auch nicht drann gedacht.

Sobald die verschlüsselte Partition entschlüsselt ist, sollten Tools wie Gparted und/oder ntfsfix auch wieder korrekte Header anlegen bzw. reparieren können, da sie anschließend alle 3 Sektoren korrekt erkennen.

Du könntest unter Linux auch einfach alle Daten auf eine neue Platte kopieren und dann die alte Platte einmal komplett wipen. Sollte die sauberste Lösung sein.

https://wiki.ubuntuusers.de/TrueCrypt/
 
Zuletzt bearbeitet:
Sun_set_1 schrieb:
Mit Linux Live-CD hochfahren, die verschlüsselte Platte in Linux entschlüsseln die Backupheader hast Du ja. (gibt tools, einfach googlen)

Die ganze Platte ist nicht verschlüsselt, nur eine von drei Partitionen auf der Festplatte.

Die Festplatte habe ich in einen zweiten Windows-Rechner eingebaut.
Kann ich die von dir genannten Schritte auch irgendwie mit testdisk bzw. unter Windows durchführen?

So wie ich das sehe, muss doch nur die Partitionstabelle mit den Partitionen aus dem Screenshot (siehe oben) neu geschrieben werden. Nur würde dann die verschlüsselte Partition das Dateisystem FAT16 bekommen, was eventuell nicht das richtige für eine verschlüsselte Partition ist, oder?

Richte ich noch mehr Schaden an, wenn ich die Festplatte in TrueCrypt auswähle und "Restore Volume Header" durchführe? Das verstehe ich als ersten Schritt aus deiner Antwort. Nur bei dir halt unter Linux.
 
Also fangen wir vorne an :)

Du haste eine komplette Platte mit 3 Partitionen. Jede Partition verfügt über eigene Partitionstabellen, die auch Informationen des übergeordneten Header benötigen. Irgendwo da ist ein Fehler passiert, die Partitionstabellen und Header waren anschließend murks.

Jetzt versucht die Windowsinstallations-DVD diese wiederherzustellen oder neu anzulegen, was CHKDSK auch ganz hervorragend beherrscht. Um die Header und Partitionstabellen neu anzulegen, werden aber Informationen über das komplette Laufwerk benötigt.

Hier kommt die verschlüsselte Partition ins Spiel. Für CHKDSK sieht das nach reinstem Datensalat aus. Es versucht dann zu retten was zu retten ist, macht in dem Fall aber mehr verkehrt als richtig.

Denn es fehlen Informationen darüber, in welchem Sektor Partitionen anfangen, in welchem sie aufhören, wo das gesamte Laufwerk anfängt und endet etc pp. Alles was es anlegen kann ist falsch, da die verschlüsselte Partition dafür sorgt, dass CHKDSK all die vorgenannten Daten nicht richtig erkennen kann und falsche Rückschlüsse zieht.


Also musst Du nun zuerst die verschlüsselte Partition entschlüsseln. Dafür sind die Backup-Header gedacht, diese enthalten all die oben genannten Informationen die zu deinem Laufwerk und dieser Partition fehlerfrei passen. Die musst du von True-Crypt also zuerst wieder auf die Platte legen lassen. Wenn die Header drauf sind, erkennt True-Crypt anschließend die verschlüsselte Partition und kann sie entschlüsseln.

Nachdem diese Partition nun entschlüsselt ist, können Tools (unter Linux) wie GPARTED und / oder NTFSFIX wieder die Platte als Ganzes richtig erkennen. Somit können diese auch nun endlich wieder die übergeordneten Festplatten-Header neu und korrekt anlegen.

Warum das ganze unter Linux? Du darfst absolut nichts an der Festplatte machen damit dies funktioniert, sprich kein Windows neuinstallieren. Installierst Du Windows neu, erkennt das Setup-Programm, dass die Zuordnungen in den Tabellen / Headern nicht stimmen und formatiert die gesamte Platte (Reparatur mit der Brechstange).

Eine Linux Live-Version macht im Gegensatz dazu nichts an den Festplatten sondern lädt das gesamte System in den Arbeitsspeicher. Daher ist es super zum Festplatten reparieren geeignet.

In der von mir verlinkten Wiki war auch ein Punkt "Partitionen entschlüsseln". Du musst im Prinzip nichts anderes machen als die Partition unter Linux (evtl per Kommandozeile) zu entschlüsseln. True-Crypt wird merken das der Header fehlerhaft ist und nach dem Backup-Header am Ende der Platte suchen, der sollte noch vorhanden sein. Nachdem die Partition entschlüsselt ist, ntfsfix ausführen und anschließend von GPARTED ggf. nochmals reparieren lassen.
 
Zuletzt bearbeitet:
Danke für deine Antwort.

Ich habe deinen ersten Schritt gewagt und in Truecrypt unter Puppy Linux die _Festplatte_ ausgewählt und "Restore Volume Header" mit meinem Backup-Header als Grundlage ausgeführt. Das klappt aber nicht wie gewollt. Ich kann jetzt zwar etwas in TC einbinden, das Dateisystem des eingebundenen Volumes ist aber kaputt.

Außerdem wird die _Festplatte_ jetzt komplett als unformatiert angezeigt, vorher als FAT16.

Meiner Laienmeinung nach hat TC einfach die neuen Header an den Anfang der Festplatte geschrieben. Ich hätte wohl zur Wiederherstellung des Headers die verschlüsselte _Partition_ auswählen müssen und nicht die Festplatte. Die Partition kann ich aber nicht auswählen, weil ich keine Partitionen mehr habe. Darum geht es ja hier.

Warum GPARTED jetzt plötzlich meine verschlüsselte Partition finden sollte, erschließt sich mir auch nicht. Wie ich hier gelesen habe, ist es ja gerade Sinn einer verschlüsselten Partition, nicht so einfach zu finden zu sein.


Ich möchte noch mal meinen Ansatz aus Beitrag #7 in den Raum stellen:

Dem FBI schrieb:
So wie ich das sehe, muss doch nur die Partitionstabelle mit den Partitionen aus dem Screenshot (siehe oben) neu geschrieben werden. Nur würde dann die verschlüsselte Partition das Dateisystem FAT16 bekommen, was eventuell nicht das richtige für eine verschlüsselte Partition ist, oder?

Die Tabelle aus dem Screenshot in testdisk mit "Write" schreiben lassen. Dann sollten 3 Partitionen wiederhergestellt sein. Und dann in Truecrypt "Restore Volume Header" und die dritte _Partition_ auswählen. Was spricht dagegen?
 
Zuletzt bearbeitet: (Dativ ins Zitat)
Ich bin mir nicht sicher, ob Test-Disk dabei nicht auch den TC Backup-Header zerstört, daher hab ich dazu nichts geschrieben... möchte dich in nichts reinreiten, wo mein Wissen aufhört höre ich auf ;)

Ich meine aber gelesen zu haben das man einen Entschlüsselungsversuch mit TC per Bash starten kann, unabhängig ob das Laufwerk defekte Tabellen aufweist. Ich vermute, bzw bin mir relativ sicher, das CHKDSK die verschlüsselte Partition nur als FAT32 gelabelt hat, da es den Datensalat nicht zuordnen konnte. Sonst aber nichts weiter mit den Daten angestellt hat.

Zurück zu TC / Veracrypt: zu 99% bin ich mir sicher das es in Bash die Möglichkeit bietet auch eine unerkannte Partition zu entschlüsseln. Du brauchst nur Key + BackupFile die Du ja hast. TC versucht dann einfach den Datensalat mit dem vorliegenden Key zu entschlüsseln. Passt es nicht, bricht es ab. Passt es doch, kann man anschliessend die Tabellen der Partitionen wieder reparieren lassen.
 
Ich habe jetzt das gemacht:

Dem FBI schrieb:
Die Tabelle aus dem Screenshot in testdisk mit "Write" schreiben lassen. Dann sollten 3 Partitionen wiederhergestellt sein. Und dann in Truecrypt "Restore Volume Header" und die dritte _Partition_ auswählen.

und es hat geklappt. Die Partitionen sind wieder da, die verschlüsselte lässt sich erfolgreich entschlüsseln. Problem gelöst.

Vielen Dank für deine/eure Hilfe. Ich werde mir jetzt eine Backup-Festplatte kaufen.
 
Gerne! Freut mich, dass es am Ende so einfach ging :)
Es hat wahrscheinlich geholfen, dass Du vorher den TC Header restored hast.

Ich werde mir jetzt eine Backup-Festplatte kaufen.

Guuute Idee :D
 
Zurück
Oben