ComputerBase Menü
Aktuelles

Bitlocker-verschlüsselte Partition RAW nach Systemwiederherstellung

Dionysos808

Dionysos808

Lt. Commander
Registriert
Sep. 2008
Beiträge
1.755
Hallo Experten,

ich versuche mich daran, zwei Partitionen wieder zurück zu bekommen. Leider gestaltet sich das noch schwieriger als gewöhnlich, denn die Partitionen sind mit Bitlocker verschlüsselt.

System:
Z68-Board
i5-2500K
8 GB RAM
1x Crucial m4 128 GB
1x Samsung HD103UJ 1 TB
1x Samsung HD204UI 2 TB (2 Partitionen)

Wie alles kam:
System war vollverschlüsselt (alle Schlüssel vorhanden)
Wiederherstellung eines Systemabbilds per Windows-Reparaturfunktion (nicht zum ersten Mal)
System vom 04.02.2012 wieder da
1-TB-HDD lässt sich mit dem Schlüssel öffnen
2-TB-HDD enthält zwei Partitionen, beide als RAW angezeigt
diese beiden Partitionen waren ebenfalls mit Bitlocker verschlüsselt

Versuche mit manage-bde und repair-bde schlugen fehl.
An den Partitionen wurde nichts verändert, sie sind einfach nur RAW nach der Systemwiederherstellung.

Ideen? Lösungsvorschläge?

MfG, Dionysos


Edit:
Das Schönste kommt zum Schluss: Als ich die 2-TB-HDD unter GParted angestöpselt habe, scheint das die 1-TB-HDD zerlegt zu haben. Aber so richtig! Nicht "nur" RAW, sondern Rattern. Wird jetzt gar nicht mehr erkannt.

Meine externe Platte, auf der zumindest die wichtigsten Daten gesichert waren... Ratet!
Meine letzte Rettung wäre, wenn ich die RAW-Partitionen auf der 2-TB-HDD wieder hinbekommen könnte. Immerhin habe ich ja die Schlüssel. Aber es ist wohl trotzdem hoffnungslos.

Jetzt hab' ich Kopfschmerzen...
 
Zuletzt bearbeitet:
Wirklich niemand? So hoffnungslos also... :(

Edit:
Na ja... ich würde ja einfach einmal Folgendes versuchen:
- neue 2-TB-HDD besorgen für immer noch 100 Euro... vor der Flut waren's 60 :(
- "alte" HDD auf die neue klonen
- TestDisk auf die "alte" HDD loslassen

Kann ich dadurch das Dateiformat wieder hinbekommen? Wie schätzt ihr meine Chancen dafür ein? Den Schlüssel habe ich ja dann. Die Hoffnung stirbt zuletzt!
 
Zuletzt bearbeitet:
Öffne mal die betroffene HDD mit HxD unter Extras->Open Disk und such nach FVE-FS. Falls was gefunden wird, mach einen Screenshot von HxD und lade diesen hier hoch. Bei Bitlocker ist leider sehr viel unter Verschluss, aber probieren kann man es mal, vielleicht kann man die nötigen Daten extrahieren.

EDIT: Ich seh gerade, du siehst die eigentlichen Bitlocker-Partitionen ja noch, oder? In diesem Fall wird das suchen mit HxD nichts bringen, damit könnte man nur die Position der Partitionen rekonstruieren. Welchen Schlüssel hast du noch - das normale Passwort zum Entschlüsseln oder den Recovery-Schlüssel (48-Zeichen), der bei der Installation ausgedruckt werden konnte? Wieso Microsoft hier mit zwei Schlüsseln arbeitet, verstehe ich auch nicht wirklich. Möglicherweise enthält der Recovery-Key in kodierter Form direkt den AES-Schlüssel und umgeht dadurch den Header, der wahrscheinlich ähnlich wie bei TrueCrypt den verschlüsselten AES-Schlüssel enthält. Um ehrlich zu sein - ohne den Recovery-Schlüssel (kann bei der Installation z.B. auf einem USB-Stick gespeichert oder ausgedruckt werden) schätze ich deine Chancen eher schlecht ein.
 
Zuletzt bearbeitet:
Genau, die Partitionen kann ich noch sehen. Auch die Größe stimmt, nur das Dateiformat ist leider RAW.
Ich habe jeden Schlüssel in Form einer Textdatei, die das 48-stellige Passwort enthält.

Vielleicht lässt sich ja etwas mit Testdisk machen, nur würde ich vorher gerne eine andere 2-TB-HDD haben, um alle Daten zu sichern, bevor ich herumexperimentiere. Allerdings ringe ich noch mit mir: Ich soll über 100 Euro für etwas zahlen, das mich vor einem halben Jahr noch 60 Euro gekostet hat...

Ich bin auch nicht allzu firm mit Testdisk, wenn man mich lotsen könnte, wäre ich wirklich dankbar!
 
Die Partition ist verschlüsselt - so lange Bitlocker diese nicht entschlüsselt, kann TestDisk absolut gar nichts machen. Deine einzige Chance wären die Recovery-Schlüssel mit den Microsoft-Tools "repair-bde" und "manage-bde", welche du allerdings schon probiert hast. Welche Fehlermeldung haben diese Tools genau ausgespuckt? Wenn der Recovery-Schlüssel wirklich den AES-Schlüssel enthält, so muss es damit eigentlich funktionieren.
 
cmd als Administrator, folgenden Befehl eingegeben:
manage-bde -unlock d: -rp XXXXXX-...

FEHLER: Ein Fehler ist aufgetreten (Code 0x80070057):
Falscher Parameter.

repair-bde hatte, wenn ich mich recht entsinne, einfach nichts gefunden. Die externe Festplatte hängt gerade an einem anderen Rechner, deshalb kann ich jetzt nicht sofort noch einmal testen.
Was genau die Fehlermeldung ist, kann ich dann morgen Abend sagen.
 
Die Fehlermeldung bedeutet eigentlich, dass Bitlocker die 100 MB Partition, die bei einer Windows Vista bzw. Windows 7 Installation automatisch angelegt wird, nicht finden kann. Eigentlich sollte diese Partition für die Aktion nicht nötig sein, einen Versuch wäre es jedoch wert, falls die Partition momentan nicht vorhanden ist.
 
Die 100-MB-Partition ist vorhanden. Allerdings ist momentan nichts verschlüsselt. Ich verschlüssele jetzt einfach meine SSD, auf der das System läuft. Dauert ja bei einer 128-GB-SSD zum Glück nicht so lange. Dann hänge ich die Problemplatte wieder ein und versuche es noch einmal mit manage-bde.
Normalerweise sollte das ja eigentlich funktionieren, da ich die HDD nicht angetastet habe. Die Partitionen und die dazugehörigen Schlüssel sind vorhanden, Laufwerksbuchstaben werden zugeordnet, "nur" das Dateisystem ist eben RAW.
 
Ob die Systempartition verschlüsselt ist, dürfte eigentlich keinen Unterschied machen - probieren kannst du es aber trotzdem. Probier morgen dann noch einmal repair-bde und poste die Fehlermeldung, vielleicht kann man da dann mehr erkennen.
 
Wird gemacht! Danke für Deine Bemühungen.

Edit: Verschlüsselung abgeschlossen. Fehlermeldung bleibt dieselbe.
 
Zuletzt bearbeitet:
Ich bin immer noch nicht dazu gekommen, repair-bde noch einmal zu versuchen, da ich an Festplattenmangel leide und jedes MB benötige. :(

Nächste Woche wird's wohl was. Dann hole ich diesen Thread nochmal aus der Versenkung.


Edit:
Ich muss nur mal kurz meine Freude zum Ausdruck bringen.
Die 1-TB-HDD lebt wieder! Zumindest für den Moment.
In meiner Verzweiflung habe ich die 1-TB-HDD, die so gerattert hat, bei laufendem Windows angestöpselt, sonst wäre der Rechner gar nicht erst hochgefahren. Nach mehrmaligem Hin- und Herlagern, hat sie mit den unschönen Geräuschen tatsächlich aufgehört und mir angeboten den Bitlocker-Schlüssel einzugeben. Das habe ich nun gemacht und kopiere gerade alle Daten herunter. Freude! Dass die nochmal ansprechbar sein würde hätte ich noch weniger gedacht als bei meiner RAW-Platte. Leichter Hoffnungsschimmer. Nächste Woche neue 2-TB-Platte, um die andere zu retten. Drückt mir die Daumen!

Denn auf der 2-TB-HDD sind die Daten, die mich mehr interessieren. Bilder, Musik, Erinnerungen. Und ich hatte das alles gesichert, nur auf der externen, die auch den Geist aufgegeben hat. Ab jetzt sichere ich alles dreifach, so viel steht fest.
 
Zuletzt bearbeitet:
Ich habe mir jetzt eine neue 2-TB-HDD besorgt und versuche es nun noch einmal mit repair-bde.

1. neue HDD genauso partitioniert wie die Problem-HDD

2. cmd als Administrator

3. repair-bde e: g: -rp 111111-222222-333333-444444-555555-666666
(e: ist die RAW-Partition, g: eine NTFS-Partition gleicher Größe)


Das wird jetzt wohl ein Weilchen dauern:
Die Suche nach BitLocker-Metadaten wird gestartet.

Die Startsektoren werden auf den Zeiger auf Metadaten durchsucht: 100%
Sektorbegrenzungen werden auf Metadaten durchsucht: 7%
Zum Vergrößern anklicken....

Wenn das nicht klappt, werde ich die ganze Problem-HDD auf die neue HDD klonen und es mit Testdisk versuchen.
Ich halte euch auf dem Laufenden.


Edit:
Das ist das Ergebnis:
Die Suche nach BitLocker-Metadaten wird gestartet.

Die Startsektoren werden auf den Zeiger auf Metadaten durchsucht: 100%
Sektorbegrenzungen werden auf Metadaten durchsucht: 100%
Suche nach BitLocker-Metadaten wurde abgeschlossen.

FEHLER: Auf dem Eingabevolume wurden wichtige Informationen zum
Entschlüsselungsschlüssel beschädigt. Verwenden Sie die Option "-KeyPackage", um
ein Schlüsselpaket angeben zu können.
Das Volume kann unter Umständen nicht wiederhergestellt werden.
Zum Vergrößern anklicken....
Ein Schlüsselpaket habe ich nicht... nur eine blöde Textdatei.

Ich versuche es jetzt mit der größeren Partition, erwarte mir aber auch da nichts.

Kann mir jemand mit Testdisk zur Seite stehen?
Es passiert doch auch mal mit unverschlüsselten Partitionen, dass sie plötzlich RAW sind. Wie geht man da dann vor? Vielleicht sind danach ja die Bitlocker-Partitionen wieder da?
Sonst fällt mir echt nichts mehr ein. :(

Ich habe repair-bde für die andere Partition jetzt abgebrochen. Ohne bek-Datei bin ich da eh verloren. Kann man die im Nachhinein noch aus einem Backup extrahieren? Ich hatte die Festplatten ja immer automatisch entschlüsseln lassen.

Jedenfalls klone ich gerade die HDD. Bis morgen...
 
Zuletzt bearbeitet:
Also enthält der Recovery-Schlüssel doch nicht den AES-Schlüssel, sondern ist nur ein zweites Passwort, falls das erste verloren geht. Damit sinken deine Chancen jedoch ziemlich, vor allem wenn man folgendes auf der Microsoft-Seite liest:
KB928201 schrieb:
To better understand the role of the key package, it may help to understand how the BitLocker Repair Tool works without the -KeyPackage option.

BitLocker helps protect against unexpected damage by scattering multiple copies of critical information on the volume. To decrypt data, the BitLocker Repair Tool scans the volume to locate a usable copy of this critical information. If all the copies of the critical information are lost, the only way for the BitLocker Repair Tool to continue the recovery operation is to use a copy of this critical information that has been exported as a key package.
Zum Vergrößern anklicken....

So viel ich weiß verteilt Bitlocker drei Kopien der kritischen Informationen - da es sich hier um keine SSD handelt, kann ich mir nicht vorstellen, dass du auf einen Schlag alle drei Kopien zerstört hast. Probier daher doch mal die Suche nach FVE-FS wie ich #3 beschrieben und mach Screenshots von allen gefundenen Stellen.
 
Gestern hatte sich G4L aufgehängt. Mir blieb nichts übrig als neu zu starten.

Dann wollte ich die neu angelegten Partitionen auf der neuen HDD löschen und noch einmal klonen.
In geistiger Umnachtung habe ich die Partitionen der falschen HDD, also der Problem-HDD, gelöscht, es dann aber sofort gemerkt, daraufhin die Platte trotzdem auf die neue geklont, jetzt habe ich natürlich meine Partitionen verloren.

Na ja, es wird einfach nicht besser...
Ich mache gerade eine Analyse mit Testdisk, danach werde ich HxD einen Blick auf die Platte werfen lassen.

Screenshots folgen.

Edit:
testdisk1.png

Ich weiß übrigens, dass das ziemlich bescheuert war, die Partitionen zu löschen... ich könnte mir in den Arsch beißen.
Und ich weiß immer noch nicht, warum die Partitionen nach der Systemabbildwiederherstellung plötzlich RAW waren. Ich hatte das Image sogar auf einer der beiden Partitionen und von da aus wiederhergestellt. Dazu musste ich sie entschlüsseln, habe dann das Image gewählt, wiederhergestellt, dann plötzlich: RAW.

Gibt es eine Möglichkeit, die Partitionen zumindest so wiederherzustellen, wie sie vorher waren? Bevor ich Schwachkopf die Partitionen gelöscht habe.
Deeper Search und dann?

Zum Heulen.


Edit 2:
Quick Search:
Screenshot1.png

Deeper Search:
Screenshot3.png

Und jetzt? Nichts weiter, oder? Das war's doch? Kann mich bitte jemand erschießen?
 
Zuletzt bearbeitet:
Servus,
ich habe auch ein Problem mit einer Verschlüsselten Festplatte die nur mehr als RAW angezeigt wird.

Ich habe eine externe Festplatte verschlüsselt, die jetzt nur mehr als RAW angezeigt wird.
Ich habe schon versucht mit dem repair-bde die Festplate zu entschlüsseln, was auch ohne Probleme durchläuft.....
"Entschlüsselung: 100 % abgeschlossen."
"Entschlüsselung wurde abgeschlossen."

Als Option habe ich das Image gewählt das auch erstellt wurde auf einer 2ten externen Festplatte, jedoch ist diese leer.

Auch die Option wo ich nur den LAufwerksbuchstabe eingebe führt zu nicht, diese Festplatte ist nach dem entschlüsseln auch nicht lesbar.

Was kann ich nun tun?
Bitte um Hilfe
 
Was ist ein leeres Image - enthält es wirklich nur Nullen oder funktioniert der Zugriff auf die Dateien nicht? Möglicherweise wurde auch das Dateisystem beschädigt, in diesem Fall könntest du Programme wie GetDataBack oder R-Studio auf das Image anwenden.
 
Wenn ich das Image mit PowerIso öffne ist es leer.

Danke für die Idee mit den Datenrettungsprogrammen, werd ich gleich testen......

Gebe dann bescheid wenn es neuigkeiten gibt....
Ergänzung ()

GetDataBack findet die Dateien, jedoch habe ich nur eine Probeversion und kann somit keine Dateien wiederherstellen, gibt es Gratisversionen mit denen ich die Dateien auch wiederherstellen kann?
 
HeliosXenon schrieb:
Ergänzung ()

GetDataBack findet die Dateien, jedoch habe ich nur eine Probeversion und kann somit keine Dateien wiederherstellen, gibt es Gratisversionen mit denen ich die Dateien auch wiederherstellen kann?
Zum Vergrößern anklicken....
Wenn es dir nur um die Dateien geht und Ordner bzw. Dateinamen unwichtig sind, so kannst du Photorec benutzen. Ansonsten gäbe es als Freeware noch Recuva, allerdings hatte ich damit meist katastrophale Ergebnisse im Vergleich zu GetDataBack. Falls du GetDataBack kaufen willst, so solltest du das von der US-Seite machen - dort kostet das Programm deutlich weniger.
 
Danke für die Info, ich werde das Programm kaufen, denn die Dateien mit Dateinamen sind sehr wichtig.

Danke nochmal für die Hilfe
 
Dionysos808 schrieb:
Ich habe mir jetzt eine neue 2-TB-HDD besorgt und versuche es nun noch einmal mit repair-bde.

1. neue HDD genauso partitioniert wie die Problem-HDD

2. cmd als Administrator

3. repair-bde e: g: -rp 111111-222222-333333-444444-555555-666666
(e: ist die RAW-Partition, g: eine NTFS-Partition gleicher Größe)
Zum Vergrößern anklicken....

Würde gerne das Thema nochmal aufgreifen, da ich genau das gleiche Problem habe.

1: Muss das hier genau so eingetragen werden als cmd ? ( 3. repair-bde e: g: -rp 111111-222222-333333-444444-555555-666666 ) oder müsste ich anstelle 111111-222222-333333-444444-555555-666666 mein Passwort eingeben ??

Mein Dilemma: Nach einem Neustart sehe ich nur noch die Platte F sonst nichts mehr.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Mit Bitlocker verschlüsselte System-SSD auf neues Mainboard mitnehmen/umziehen/einbauen – ohne Datenverlust möglich?
2 3
Antworten
58
Aufrufe
1.779
tollertyp
T
O
BitLocker verschlüsselte Partition ohne Passwort oder recovery key
2
Antworten
30
Aufrufe
4.339
Nilson
Nilson
N
Bitlocker verschlüsseltes Windows 10 reparieren?
Antworten
7
Aufrufe
6.787
Nemesis1701
N
PrometPheus
Mit BitLocker verschlüsselte Platte abmelden
Antworten
4
Aufrufe
3.811
PrometPheus
PrometPheus
D
Bitlocker - Verschlüsselte HDD ausbauen, funktionstüchtigkeit nach wiedereinbau?
Antworten
2
Aufrufe
4.459
M@rsupil@mi
M

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz