Fragen zur Datenrettung (Allgemein & TestCrypt)

[x57]

Hallo zusammen,

ich bräuchte mal eure Hilfe zur Rettung meiner TC Partition (Eigentlich habe ich ein ähnliches Problem auf 2 Disks, aber ich beschränke mich hier erstmal auf eine). Es handelt sich um eine 3TB HDD mit einer Partition, welche ich mit TC verschlüsselt hatte und welche nach der Installation einer neuen SSD, dem spiegeln der Systempartition (andere Disk) mit Acronis TIH auf einmal nicht mehr gemountet werden konnte ("Falsches Pwd oder keine TC Partition"). Mit dem integrierten Backup-Header kann ich die Partition mounten, allerdings kann ich dann nicht darauf zugreifen ("Unformatted disk"- Meldung von Win7 und Frage ob ich formatieren möchte (natürlich nicht)). Ich habe erstmal mit ddrescue eine Komplettkopie auf eine neue Platte gemacht.

Ich bin mir nun nicht sicher, wie ich weiter vorgehen soll?

- Chkdsk auf der gemounteten Partition führte zu tausenden Meldungen "Deleting orphan file record segment ..." und endete mit 11 laut chkdsk rekonstruierten Dateien (sollten >10000 sein) und einem weiterhin nicht zugreifbaren Filesystem ("Access denied")?!

(FRAGE 1)
Kann das daran liegen, dass evtl. meine Partition Table durcheinander gekommen ist und TC mit dem Backupheader an der "falschen Stelle" gemountet hat (also z.B. annimmt dass die TC Partition bei X MB anfängt statt bei Y MB)?

(FRAGE 2)
Ähnliche Frage: Speichert TC im (Backup)Header die Location an der der verschlüsselte Datenbereich anfängt oder geht es davon aus, dass der einfach am Start der Partition (nach dem Header natürlich) anfängt (in welchem Fall dies vielleicht durch Korrektur einer evtl. falschen Partitionstabelle lösbar wäre?) ?


Testcrypt
Weiterhin habe ich mal versucht mit TestCrypt nach dem vorderen TC-Header zu suchen... dabei verwirrt mich ein wenig:

(FRAGE 3)
- Nach der Auswahl der Disk ist die Dialogseite "Partition Analyzer" komplett ausgegraut, Truecrypt zeigt mir aber im Device-Selection Dialog 2 Partitionen an (Partition 1: 128 MB, Partition 2: 2,7 TB)? Ist die 128MB nur eine GPT/GUID Reserved Space Partition die nirgends sonst angezeigt wird (auch nicht im Win7 Disk Management)?
- Beim Dialog "Volume Analyze" habe ich Begin und End auf Auto gestellt. Das Ergebnis ist

(FRAGE 4)

Sector       - Volume Size - Hidden - Version - Supported - Normal Header - Embedded Backup Header
364801/61/61   3,00TB        false    5         TRUE        N/A             16/113/34 - 364801/66/1

Heisst das, dass er keinen Normalen Header gefunden hat? Macht es noch Sinn in weiterem Umfang danach zu suchen um den Anfang des Volumes zu finden oder so? Was genau bedeuten die H/C/S Angaben unter "Sector" und "Embedded Backup Header"? Ist das Start und Ende des verschlüsselten Bereichs? Wie nutze ich die Informationen?


Das waren eine Menge Fragen und ich bin dankbar für jegliche Hilfe meine Daten wiederzubekommen und das Problem besser zu verstehen...
Vielen Dank schonmal fürs lesen

 

[Atlan3000]

Grundsächlich könnte folgendes passiert sein: Irgendein Programm hat auf die ungemountete Platte geschrieben deswegen konnte sie auch nicht gemoutet werden weil der vordere Header überschrieben wurde. Nachdem der hintere Backup Header das mounten wieder zulässt kommt dabei leider eine korrupte Partitiontabelle heraus weil wohl auch diese Daten im nicht gemounteten Zustand überschrieben wurden und nach dem mounten steht da jetzt erst recht kompletter Müll drin (es werden ja eigentlich nicht verschlüsselte Daten wie die neue falsche Partitonstabelle beim mounten entschlüsselt!). In dem Fall rate ich zu einem Programm wie GetDataBack NTFS (kommerziell) was in der Lage sein sollte Directorystrukturen und Dateien nach einem (langem) Komplettscan zu finden. Das Programm bietet mehrere Optionen (zur schwere der Beschädigung) und hier muss man meistens die schwerste Beschädigung ("Nachhaltiger Dateisystemschaden" glaub ich, ist länger her) angeben weil sonst nix gefunden wird (Erfahrungswert). Dabei wird die komplette Disk sektorweise gescannt und das dauert Stunden (Option: Hexdump abschalten bringt etwas Geschwindigkeit). Danach können die gefundenen Daten auf eine vorhandene Platte mit genügend freiem Platz umkopiert werden. Das Programm repariert die beschädigte Festplatte selbst nicht, was auch sicherer ist da so jeder Schreibvorgang auf die beschädigte Platte vermieden wird.

 

[Simpson474]

Chkdsk auf der gemounteten Partition führte zu tausenden Meldungen "Deleting orphan file record segment ..." und endete mit 11 laut chkdsk rekonstruierten Dateien (sollten >10000 sein) und einem weiterhin nicht zugreifbaren Filesystem ("Access denied")?!

Ich hoffe, du hast den "chkdsk" Aufruf nach dem Klonen der HDD gemacht, denn "chkdsk" ist manchmal sehr destruktiv.

(FRAGE 1)
Kann das daran liegen, dass evtl. meine Partition Table durcheinander gekommen ist und TC mit dem Backupheader an der "falschen Stelle" gemountet hat (also z.B. annimmt dass die TC Partition bei X MB anfängt statt bei Y MB)?

Wäre möglich, es kann aber auch sein, dass "nur" (die verschobene Partition wäre weniger destruktiv) der normale Header und das Dateisystem des verschlüsselten Volumes zerstört ist, wenn z.B. die Windows 7 Installation das Laufwerk formatiert hat (kommt leider recht häufig vor, wenn man die verschlüsselten HDDs während der Installation angesteckt hat).

(FRAGE 2)
Ähnliche Frage: Speichert TC im (Backup)Header die Location an der der verschlüsselte Datenbereich anfängt oder geht es davon aus, dass der einfach am Start der Partition (nach dem Header natürlich) anfängt (in welchem Fall dies vielleicht durch Korrektur einer evtl. falschen Partitionstabelle lösbar wäre?) ?

TrueCrypt speichert nur die Größe des verschlüsselten Volumes im Header, jedoch wird nicht einmal diese geprüft. Vergrößert man eine Partition z.B. indem man Sektoren vor der eigentlichen Partition hinzufügt und das Volume anschließend über den Backup-Header einbindet, so bekommt man keinerlei Warnung, dass die Partitionsgröße nicht zur im Header gespeicherten Information passt und die Daten werden auch falsch "entschlüsselt".

(FRAGE 3)
- Nach der Auswahl der Disk ist die Dialogseite "Partition Analyzer" komplett ausgegraut, Truecrypt zeigt mir aber im Device-Selection Dialog 2 Partitionen an (Partition 1: 128 MB, Partition 2: 2,7 TB)? Ist die 128MB nur eine GPT/GUID Reserved Space Partition die nirgends sonst angezeigt wird (auch nicht im Win7 Disk Management)?

Vergiss die Dialogseite am besten - ich hab das Teil nie mit GPT getestet und noch dazu muss diese Seite wirklich dringend überarbeitetet werden. Du könntest mit dieser Seite höchstens prüfen, ob die Daten des gefundenen Backup-Headers mit den Partitionsgrenzen übereinstimmen.

Heisst das, dass er keinen Normalen Header gefunden hat?

Genauso sieht es aus - das passiert meist, wenn der Anfang der Partition überschrieben wurde, z.B. durch Überformatieren.

Macht es noch Sinn in weiterem Umfang danach zu suchen um den Anfang des Volumes zu finden oder so?

Den Anfang kannst du auch aus deinem gefundenen Backup-Header berechnen, bzw.:

Was genau bedeuten die H/C/S Angaben unter "Sector" und "Embedded Backup Header"? Ist das Start und Ende des verschlüsselten Bereichs? Wie nutze ich die Informationen?

Das ist der Anfang und das Ende der verschlüsselten Partition, welche durch diesen Header definiert wird - daher brauchst du den Anfang der Partition gar nicht berechnen. Die C/H/S Ausgabe ist bei GPT natürlich perfekt, dort wird eigentlich nur noch mit LBA gearbeitet aber das könnte man zur Not umrechnen.

Für das weitere Vorgehen wäre es am besten, wenn du zunächst mal die Partitionsgrenzen im "Partition Analyzer" mit den im gefundenen Backup-Header angegebenen Informationen vergleichst - stimmen diese überein, so kannst du das Laufwerk wie bisher in TrueCrypt mounten. Stimmen die Angaben nicht überein, so solltest du TestCrypt zum Einbinden des Laufwerkes für die weitere Datenrettung verwenden. Anschließend wirst du wohl mit Datenrettungsprogrammen wie GetDataBack oder R-Studio arbeiten müssen, zumindest wenn das Laufwerk überformatiert wurde. Wichtig dabei ist, dass du das eingebundene Laufwerk in den Datenrettungsprogrammen auswählst und nicht die verschlüsselte Partition.

 

[x57]

Wow, eigentlich wollte ich gerade schlafen gehen und nur nochmal kurz schauen und schon 2 Antworten... vielen Dank schonmal an euch beide!

Ich werde jetzt erstmal die von chkdsk kaputt gemachte KOPIE (puh, gut dass ich noch die neue 3TB disk gekauft habe...) wieder mit einer neuen Kopie überschreiben, dass dauert ja so 15h...

Dann werde ich morgen nach der Arbeit wenn ich es schaffe mal ein bisschen mehr Techzeugs nachlesen (LBA, GPT, CHS...) und dann sehen, was ich noch für Anschlussfragen habe... wäre also super wenn ihr ab und zu nochmal vorbeischauen könntet...

Übrigens habe ich die ganzen Schritte bei der Installation meiner neuen SSD der zu meinem Problem geführt hat auch hier mal gepostet (in englisch) allerdings war der Text für eine Antwort wohl zu lang.