Gelöschte Truecrypt Partition wiederherstellen

[CED999]

Hallo allerseits,

Paragon hat gestern beim einspielen des Systemlaufwerks c leider völlig unbeteiligte Partitionen gelöscht. Eine davon war ein Truecryptvolume mit wichtigen Daten, dass ich nun versuche verzweifelt wiederherzustellen.

Der Aufbau der Platte/Systemwar folgender:

System: Win7 64-bit, Truecrypt 7.1

C: Primäre Partition = System (noch vorhanden)
D: Primäre Partiton = Daten (Benutzerprofil) (noch vorhanden)
soweit ich mich entsinne befand/befindet sich ab hier alles als logische Laufwerke in einer erweiterten Partition:

G: Daten unverschlüsselt (noch vorhanden)
H: formatiert aber leer
I: Truecryptvolume verschlüsselt
?: Buchstaben weiß ich nicht mehr genau, Acronis Securezone (Bereich der gesperrt ist in dem Acronis Backups ablegt) - war aber soweit ich mich entsinnen kann leer.

Die letzen 3 Partitionen wurden durch Paragon gelöscht. Die Platte sieht jetzt so aus:




Durch das Löschen der Partitionen ist jetzt 150 GB freier Speicher da. In der Mitte müsste mein Truecrypt volume (welches ich unbedingt brauche) liegen. Jede der 3 Partitionen war ziemlich genau 50GB groß.

Wie gehe ich jezt vor? Habe mir auch schon Testcrypt runtergeladen - raffe nur nicht so genau was ich dort einstellen soll. Stand im I-Net auch viel merkwürdig klingende Tipps a La: "Platte schnellformatieren..dann Testcrypt" was etwas schwachsinnig klang.

Help more than welcome - brauche die Daten wirklich..

 

[h3@d1355_h0r53]

Wie du vorgehst? Ganz einfach: Backups machen beim nächsten Mal.
Ansonsten möglichst nichts machen mit der Platte bis du nicht 100% weißt was du machen sollst. Denn ein falscher Schritt und womöglich ist gar nichts mehr zu retten. Also warten bis dir hier jemand mit mehr Fachkenntnis als ich eine gute Antwort schreibt. In der Zwischenzeit kannst du ja im Internet etwas googeln wie man TrueCrypt Festplatten sicher backupen kann.

 

[Simpson474]

Versuch zunächst einmal, ob TestDisk alle Partitionen bis auf die TrueCrypt-Partition findet - damit kann man den zu suchenden Bereich in TestCrypt stark einschränken.

 

[CED999]

@h3@d1355_h0r53: Ich weiß Du meinst es wohl gut. Das Leben ist manchmal etwas komplizierter. Ich lege normalerweise sehr wert auf meine Backups. Da ich mit Acronis nicht mehr zufrieden war, habe ich die Backup scripte pausiert um eine andere Software zu testen (von der ich dachte sie könnte es eventuell noch besser). Da sich das testen etwas hinzog, sind die Backups nun 10 Tage alt. Turns out, dass in 10 Tagen eine Menge an wichtigen Daten anfallen kann.

Diese neue Software hat nun schon im ersten Test in einem AUSMAß Desaster angerichtet, dass ich mir vorher nicht erträumen hätte lassen (Partitionen zu löschen die rein gar nichts mit dem Backupjob gemein hatten). Mein Image von C das ich vorher angelegt hatte hilft da halt auch nicht weiter....

Das Leben ist bunter als man denkt und Firmen die seit 10 Jahren Software in einem Bereich verkaufen (Paragon) und wohl bekannt sind, können einem auch den größten Dreck für 80€ verkaufen....

Ergänzung (11. Mai 2013)

Hi Simpson474,

Thanks man dass du gekommen bist!!!! Ich laden mir gleich Testdisk runter...

Ergänzung (11. Mai 2013)

also ich habe jetzt TestDisk in der quicksearch laufen lassen und folgendes Ergebnis erhalten:




Ich bin schon ganz aufgeregt Das Programm hat glaube ich schon alles gefunden "Testpartition" habe ich die Partition H genannt und am Ende hat er auch Acronis SZ gefunden und dazwischen das müsste die Truecrypt Partition sein!!!

Wie mache ich jetzt weiter??

 

[Simpson474]

Das erstaunliche ist, dass die TrueCrypt-Partition gefunden wurde - das deutet fast darauf hin, dass Paragon die erweiterte Partitionstabelle nur beschädigt hat, der Eintrag für die logische TrueCrypt-Partition jedoch nicht gelöscht wurde (verschlüsselte Partitionen können von TestDisk ansonsten nicht gefunden werden). Da es das letzte mal überhaupt nicht geklappt hat, mit TestDisk eine logische Partition anzulegen, würde ich vorschlagen, du bindest die Partition mit TestCrypt ein, sicherst die Daten und spielst diese anschließend in eine neu angelegte Partition zurück. Gib in TestCrypt beim "Custom Analyzer" mal folgende Bereiche ein:
77868/27/1-77868/28/1
84405/33/1-84405/35/1

 

[CED999]

Gib in TestCrypt beim "Custom Analyzer" mal folgende Bereiche ein:
77868/27/1-77868/28/1
84405/33/1-84405/35/1

Edit: Ich nutze die Version 0.51 von Testcrypt. Ich finde dort keinen Custom Analyzer. Bei mir sieht das so aus:



Ich kann auch nur was eingeben wenn ich eine Partition markiert habe. Wie mache ich das jezt bzw. welche Partition soll ich markieren?

vorschlagen, du bindest die Partition mit TestCrypt ein, sicherst die Daten und spielst

Sorry, bin ziemlicher Noob, Schritt für Schritt wäre am besten..

Das erstaunliche ist, dass die TrueCrypt-Partition gefunden wurde - das deutet fast darauf hin, dass Paragon die erweiterte Partitionstabelle nur beschädigt hat, der Eintrag für die logische TrueCrypt-Partition jedoch nicht gelöscht wurde (verschlüsselte Partitionen können von TestDisk ansonsten nicht gefunden werden).

Dazu muss ich sagen, dass ich mir nicht mir ganz sicher bin ob ich die Daten In-Place-verschlüsselt habe (also Partition war erstellt und da und Daten drauf dann verschlüsselt) oder erst Partition und dann Verschlüsselung (falls das eine Rolle spielt)..

Edit: Als ich Testdisk habe nochmals laufen lassen, ist mir folgendes aufgefallen mit Bad relative Sector. Hier der Vollständigkeit halber noch ein Bild. Hat das was zu bedeuten?

 

[Simpson474]

Ich nutze die Version 0.51 von Testcrypt. Ich finde dort keinen Custom Analyzer. Bei mir sieht das so aus:

Klick einfach auf "Next" - auf der nächsten Seite kommt dann der "Custom Analyzer". Dort kannst du die beiden Bereiche angeben - einfach den Teil vorm Bindestrich bei "Start Offset" und den Teil nach dem Bindestrich bei "End Offset" einfügen.

Dazu muss ich sagen, dass ich mir nicht mir ganz sicher bin ob ich die Daten In-Place-verschlüsselt habe (also Partition war erstellt und da und Daten drauf dann verschlüsselt) oder erst Partition und dann Verschlüsselung (falls das eine Rolle spielt)..

Das dürfte eigentlich keine Rolle spielen, das resultierende TrueCrypt-Volume sieht immer gleich aus.

 

[CED999]

O.k. ich habs so gemacht wie Du gesagt hast.

Es hat auch was gefunden:


wie mache ich jetzt weiter?

Ergänzung (11. Mai 2013)

O.K. habe jetzt Deinen anderen Thread gefunden. Aber Mount als Backup-Header oder als normal?

 

[Simpson474]

Es wurde nur der normale Header gefunden, daher "Mount as normal header".

 

[CED999]

Genial Es hat funktioniert!!!!!! Dank Dir und Deiner genialen Software
Ah ich bin so glücklich.

Kannst Du mir noch folgendes verraten, damit ich nicht dumm sterbe:

1. Warum hat Testcrypt die Partition gefunden, als wir genauer eingegrenzt hatten, wo es suchen soll, aber nicht beim ersten mal wo ich die ganze Platte habe scannen lassen?
2. Verstehe ich den Fehler richtig, dass in der MFT der Eintrag zu diesen Partitionen fehlt und sie daher als freier Speicher bezeichnet wurden? Wenn ja hättest du eine Erklärung dafür (interessiert mich brennend), warum es nicht funktioniert hat mittels Acronis den MBR wiederherstellen zu lassen? das hätte die MFT doch wiederherstellen müssen oder?
3. Mir ist bei deinem Vorgehen aufgefallen, dass Du in Testcrypt einmal den Bereich von einem Head zum nächsten angegeben hast (27/1-28/1), beim anderen bist du von einem Head zurück bis zum nächsten gegangen (33-35). War das einfach Bauchgefühl oder muss man dabei auf etwas achten?

Thx!

 

[Simpson474]

Warum hat Testcrypt die Partition gefunden, als wir genauer eingegrenzt hatten, wo es suchen soll, aber nicht beim ersten mal wo ich die ganze Platte habe scannen lassen?

TrueCrypt verwendet eine aufwändige Berechnung, um den Header zu entschlüsseln - von daher würde eine Analyse der vollständigen HDD mehrere Monate wenn nicht sogar Jahre benötigen. Aus diesem Grund such TestCrypt standardmäßig nur am Anfang und Ende der HDD nach einem TrueCrypt-Header - nicht jedoch mittendrin.

Verstehe ich den Fehler richtig, dass in der MFT der Eintrag zu diesen Partitionen fehlt und sie daher als freier Speicher bezeichnet wurden? Wenn ja hättest du eine Erklärung dafür (interessiert mich brennend), warum es nicht funktioniert hat mittels Acronis den MBR wiederherstellen zu lassen? das hätte die MFT doch wiederherstellen müssen oder?

Die MFT hat damit nichts zu tun - diese ist Teil vom Dateisystem und bei dir intakt, ansonsten könntest du jetzt nicht darauf zugreifen. Das Problem scheint die erweiterte Partition zu sein - eine mit MBR initialisierte HDD kann bis zu 4 primäre Partitionen verwalten, will man mehr, so muss man eine erweiterte Partition erstellen, welche dann beliebig viele logische Partitionen enthalten kann. Genau bei diesen logischen Partitionen gab es bei dir ein Problem, denn von diesen wurde nur noch die erste erkannt. Wenn du dir diese Probleme in Zukunft ersparen willst, so mach am besten nur 4 primäre Partitionen auf einer mit MBR initialisierten HDD.

Mir ist bei deinem Vorgehen aufgefallen, dass Du in Testcrypt einmal den Bereich von einem Head zum nächsten angegeben hast (27/1-28/1), beim anderen bist du von einem Head zurück bis zum nächsten gegangen (33-35). War das einfach Bauchgefühl oder muss man dabei auf etwas achten?

Das ganze war nur, um die Rechnerei zu ersparen. Für den normalen Header reicht es aus, vom Beginn der Partition an mindestens einen Sektor zu scannen - beim Backup-Header müssen mindestens die letzten 256 Sektoren gescannt werden.

 

[CED999]

Vielen Dank für die Infos.

Du hast mir wahnsinnig weitergeholfen!


Grüße!

 

[betep]

Hallo zusammen,

nach durchforsten diverser Foren bin ich in diesem Thread gelandet. Ich habe mir schon Hoffnungen gemacht, habe die oben beschriebene Vorgehensweise ausprobiert, hat leider nichts geholfen:-(

Aber alles der Reihe nach, also mein Problem:

Ich habe linux und windows paralell laufen. Im linux habe mit Truycrypt 7.1a eine Festplatte komplett verschlüsselt (Ohne vorher Partition zu erstellen). Im Windows habe ich dann, so ungeschickt man manchmal ist (ich könnte mich verhauen), die Festplatte im Datenträgerverwaltung initialisiert! (Kann leider keine Screenshots liefern - es war so ein rotes Kreuzchen). Versuche im TrueCrypt disk zu mounten sind fehlgeschlagen, auch das wiederherstellen der embedded Header hat nichts gebracht (Ich hatte leider kein Backup des Header angelegt gehabt), genauso wenig das Suchen nach TC-Volumen mit TestCrypt.

Meine Frage an die Forumgemeinschaft, insbesondere an Simpson474:
Gibt es noch einen Hoffnungsschimmer das Volumen wiederherzustellen? Nach dem Initialisieren wurden keinerlei Daten auf diese geschrieben, natürlich.

Vielen Dank im Voraus und
Schöne Grüße!

 

[Simpson474]

Wenn TestCrypt nichts gefunden hat, so sieht es sehr düster aus. Bei vollständig verschlüsselten HDDs liegt der normale Header im ersten Sektor der HDD - dieser wird beim Initialisieren der HDD überschrieben (der Hidden-Volume Header überlebt eine Initialisierung mit MBR, der Header für ein normales Volume jedoch nicht). Der integrierte Backup Header liegt am Ende der HDD und sollte von TestCrypt mit der Option "Automatic" bei "End of Volume" gefunden werden - sofern dieser vorhanden ist: leider gibt es einen Bug in TrueCrypt, wodurch kein Backup-Header geschrieben wird, wenn die Formatierung beim Erstellen des Volumes abgebrochen wird.

Ansonsten kannst du noch eine Sache probieren: entferne den MBR am besten unter Windows mit HxD ("Extas" -> "Open Disk", pass aber auf, dass du die richtige HDD erwischt) indem du die beiden markierten Hex-Zahlen 0x55 und 0xAA durch andere ersetzt, z.B. 0xDE 0xAD. Anschließend kannst du unter Linux probieren, die HDD mit dem Haken bei "Use backup header embedded in volume if available" einzubinden - wenn das nicht klappt, so denke ich, hast du keine Chance mehr.

 

[betep]

Simpson474, Danke für den Vorschlag

habe wie beschrieben MBR entfernt, hat leider nichts gebracht. So wie es aussieht muss ich den Tatsachen ins Augen sehen und Adé meinen Daten Sagen :-((

Trotzdem Danke, es war Versuchs wert.

Gruß!