ComputerBase Menü
Aktuelles

Logisches TrueCrypt ext3 Volume verloren gegangen

T

twaddle

Newbie
Registriert
Feb. 2011
Beiträge
4
System: Windows 7 Ultimate 64bit

Moin moin

ich habe folgende, mir nicht recht zu erklärende Problematik.
Ich habe in einem Linux System die Systempartition mit crypto verschlüsselt. Die Swap Partition ebenfalls, die Boot Partition gar nicht. Mein Home Verzeichnis habe ich mit TrueCrypt verschlüsselt. Es wurde beim Start automatisch gemountet. Nachdem mir leider mein Board abgeraucht war, konnte ich das Linux System nicht mehr ohne weiteres starten. Ich wollte mich daher zu einem späteren zeitpunkt damit befassen. Leider konnte ich auch nicht auf mein Home Verzeichnis zugreifen, weil der etx3 Treiber für Windows mit TrueCrypt damals irgendwie in Straucheln geraten ist. Inzwischen müsste man mit dem Treiber auch auf TrueCrypt Volumen zugreifen können.
Die Problematik die sich mir nun stellt ist allerdings, dass die Home Partition nicht mehr existent ist. Die Windows Datenträgerverwaltung interpretiert mir die Platte so, dass eine erweiterte Partition im letzten Teil der Platte besteht. Allerdings fehlt die dazugehörige logische Partition.
Ich kann mir nicht erklären wie es zum Verlust dieser Partition gekommen ist, aber fakt ist jedenfalls dass da was nicht stimmt. Ich bin mir nicht mehr 100% sicher, ob im erweiterten Teil der Festplatte nur die Home Partition lag, oder ob diese nochmal mehrfach aufgeteilt war. Das alles ist schon ziemlich lange her. Natürlich gestaltet sich dadurch die Rettungsmaßname deutlich schwieriger, wenn man nicht mehr weiß nach welcher Struktur man jetzt eigentlich genau suchen soll.

Screen von der Datenträgerverwaltung:

hddrecovery_linux005_hddmgmt-png.222662

Es handelt sich um "Datenträger 0"



Ich habe jetzt erstmal mit TestCrypt versucht aufgrund des TrueCrypt Headers die Partition zu lokalisieren. TestCrypt findet allerdings nur eine Partition die 120GB groß ist. Das ist ja schon einmal ein anfang, und für mich irgendwie ein Indiz, dass ich scheinbar im erweiterten Teil der Partition nicht nur eine Home Partition liegen hatte, sondern diese aufgeteilt hatte. Ich habe, wenn ich das richtig verstanden habe, ja nur den letzten Teil der Festplatte nach dem Header durchsucht.

Screen vom Ergebnis von TestCrypt:

hddrecovery_linux001_testcrypt-png.222658




Zusätzlich dachte ich mir dann, ich geh' mit TestDisk nochmal drüber, manchmal findet man damit ja sogar TrueCrypt Volumes. Hier erstmal die Partitionstabelle, die TestDisk mir ausgibt:

hddrecovery_linux002-png.222659




Ach, zu erwähnen ist auch noch, dass ich eine Meldung von Testdisk beim betrachten der Partitionstabelle bekomme (sieht man wenn man runterscrollt):

hddrecovery_linux006_parttab_errormsg-png.222664




Dann das Ergebnis eines durchlaufenen Quick Search:

hddrecovery_linux004_quick_search-png.222661




Und daraufhin noch ein Deep Search:

hddrecovery_linux003_deep_search-png.222660



Ich muss gestehen dass ich aus den TestDisk Ausgaben noch nicht so ganz schlau geworden bin. Jedenfalls sieht das Deep Search Ergebnis für micht auch nicht umbedingt befriedigend aus.
Ich bin über dieses Forum auf das Tool TestCrypt gestoßen. Simpson474 hatte auch schon öfter dazu ein wenig Hilfestellung gegeben. Jetzt hätte ich da die konkrete Frage, am ehesten wohl an ihn ;):
Wäre es möglich, angenommen die Daten die TestCrypt ausgelesen hat sind korrekt, sich nach und nach die Partitionstabelle zusammenzubauen, indem man immer wieder abwechselnd mit TestDisk die Werte von TestCrypt übernimmt und daraufhin die (dann noch unvollständige) Partitionstabelle schreibt und danach wieder TestCrypt laufen lässt?
Ich bin mir was TestCrypt angeht auch nicht so ganz sicher, wo ich am Besten nach dem TrueCrypt Header suchen muss... Am Ende ist doch korrekt, oder? Ein Backup vom Header habe ich leider jedenfalls nicht mehr.

Und zu guter letzt noch etwas allgemeines:
Ich würde diese ganzen Recovery Aktionen ungern einfach so an der Platte durchführen. Daher würde ich gerne ein Dump von der ganzen Platte 1:1 machen. Ich hätte auf einer anderen Platte entsprechend 500gb platz, allerdings ist mir für windows kein Tool wie dd bekannt. Ich habe im Netz gesucht, da gibt es dd für Windows, damit kann ich aber irgendwie nicht die ganze Platte, sondern nur jeweilige Partitionen selektieren.
Hat dahingehend jemand 'ne Idee?

Ich danke allen die sich durch mein langes Intro gekämpft haben ;). Vielleicht hat ja jemand eine Idee.

Gruß
twaddle
ps.: Falls noch Informationen fehlen, kann ich die gerne noch "nachreichen". Mir fällt nur direkt jetzt nichts mehr ein was von relevanz sein könnte.
 

Anhänge

  • hddrecovery_linux001_testcrypt.png
    hddrecovery_linux001_testcrypt.png
    60,9 KB · Aufrufe: 931
  • hddrecovery_linux002.png
    hddrecovery_linux002.png
    54,5 KB · Aufrufe: 812
  • hddrecovery_linux003_deep_search.png
    hddrecovery_linux003_deep_search.png
    42,1 KB · Aufrufe: 757
  • hddrecovery_linux004_quick_search.png
    hddrecovery_linux004_quick_search.png
    37,9 KB · Aufrufe: 718
  • hddrecovery_linux005_hddmgmt.png
    hddrecovery_linux005_hddmgmt.png
    94,7 KB · Aufrufe: 776
  • hddrecovery_linux006_parttab_errormsg.png
    hddrecovery_linux006_parttab_errormsg.png
    64,3 KB · Aufrufe: 753
Tipp mal beim Custom Analyzer in TestCrypt den folgende Bereiche ein: 46204/1/1 - 46205/1/2 und 40800/250/59 - 40800/250/61. So lange du mit TestCrypt arbeitest, kannst du eigentlich nicht viel kaputt machen, da alle gefundenen Volumes nur schreibgeschützt gemountet werden können - daher kannst du dir eigentlich die 1:1 Kopie sparen. Um unter 64-Bit Betriebssystemen die gefundenen Volumes direkt mounten zu können, muss Windows per F8-Taste und Option "Digitale Treibersignatur deaktivieren" gestartet werden (die Option zählt nur für einen Systemstart). Ob das Zusammen mit dem ext3-Treiber funktioniert, kann ich dir leider nicht sagen.
 
Moin

ersteinmal danke für deine Antwort.
Also ich habe TestCrypt mit den von dir genannten Parametern mal rüberlaufen lassen. Und ich habe dieses Ergebnis dabei herausbekommen:

hddrecovery_linux007_analyzer_result-png.222889



War sehr gut dass du das mit dem digital signierten Treiber nochmal gesagt hast. Ich hatte das nicht aufm Schirm und konnte die Partition beim ersten durchlaufen leider nicht mounten. Jetzt verhält es sich so, dass die 120GB Partition problemlos zu mounten ist.
TestCrypt mountet die Partition und der etx2fsd Treiber scheint da direkt automatisch aktiv zu werden. Ich musste jedenfalls nichts in der Verwaltungsoberfläche des Treibers einstellen oder dergleichen. Als ich in TrueCrypt eine der Partitionen gemountet habe, die noch so in der Partitionstabelle stehen, konnte ich auch einfach so direkt drauf zugreifen. Wie gesagt, früher hatte ich mal stress mit diesem etx Treiber.
Das ist jetzt jedenfalls mein Indiz dafür, dass er seine Arbeit ordentlich verrichtet.

Die 314 GB Partition dagegen, wo die eigentlich wichtigen Daten drauf sind, lässt sich zwar mounten, Windows will den Datenträger aber natürlich gleich formatieren.
Könnte das daran liegen, dass dieser Header nicht wirklich bekannt ist, sondern nur der Backup Header?


Vielen Dank für die Hilfe und netten Gruß
twaddle
 

Anhänge

  • hddrecovery_linux007_analyzer_result.png
    hddrecovery_linux007_analyzer_result.png
    72,7 KB · Aufrufe: 685
Zuletzt bearbeitet:
Möglicherweise ist hier das Dateisystem beschädigt - das könnte auch erklären, wieso die erweiterte Partitionstabelle plötzlich verschwunden ist. Du kannst ja mal die Demo von R-Studio ausprobieren, dieses kann auch ext3 Dateisysteme finden. Wichtig dabei ist, dass du in R-Studio den Laufwerksbuchstaben auswählst, den dir TestCrypt beim Mounten anzeigt - nur damit wird das entschlüsselte physikalische Laufwerk eingebunden und nicht das verschlüsselte physikalische Laufwerk eingebunden.
 
Hej

das mit R-Studio werd ich gleich mal ausprobieren. Ich habe, nachdem ich die 120Gb Partition erstmal gebackupt hab, diese nochmal geunmounted und dann versucht diese mit dem Backup Header einzubinden. Das Ergebnis ist das gleiche wie bei der 314er Partition. Windows möchte die Partition formatieren. Also ich würde daraus jetzt schließen, dass ich scheinbar mit dem Backup Header die Partition nicht richtig einbinden kann. Vielleicht liegt das dann ja auch schon wieder an dem ext Treiber. Gibt es eine Möglichkeit mit TestCrypt den Normalen Header der 314er Partition zu finden? Würde das gerne mal ausprobieren.


Gruß
twaddle
 
Eigentlich sollten beide Header korrekt gemountet werden können - du kannst es ja mal probieren, ob du mit folgendem Bereich einem normalen Header findest: 7959/1/1 - 7960/1/2. Es kann jedoch sein, dass dieser möglicherweise ebenfalls überschrieben wurde.
 
Moin

ich habe gestern mit den genannten Parametern TestCrypt laufen lassen, allerdings wurde leider kein Header gefunden. Dann habe ich R-Studio angeschmissen und erstmal n bisschen Pause gemacht. Mit R-Studio finde ich einiges auf der Platte an wirren Dateien, ohne Dateinamen. Leuchtet ein dass der Name weg ist, dementsprechend auch die Pfadzuordnung, etc. Ich hatte aber eigentlich gehofft, dass R-Studio vielleicht eher nicht nach Dateien sucht, sondern versucht den Anfang des Dateisystems zu rekonstruieren. Die Dateien sind je nach Dateiendung sortiert worden. Gibt es da vielleicht noch Funktionen, die ich nicht direkt gesehen habe? Und kann ich nicht irgendwie vielleicht sonst auch mit TrueCrypt den Backup Header nehmen udn den als normalen Header neu schreiben? Da ich ja jetzt durch TestCrypt die Start- und Endposition habe, könnte ich dann doch mit TestDisk vielleicht die Partitionstabelle neu schreiben. Und danach eben versuchen mit TrueCrypt den Header wiederherzustellen. Wäre das vielleicht ne Option?
Diese Flut an Dateien die mir R-Studio liefert kann ich schwierig alle auswerten. Das sind fast drei Milion Dateien. :D Mich wundert auch ein wenig wo die her kommen. R-Studio behauptet auch dass das insgesamt 2,88TB wären.


Gruß
twaddle
ps.: Ich habe das mit der 114Gb Partition auch mal probiert, den Backup Header eingebunden und dann R-Studio drüber laufen lassen. Das Ergebnis war ziemlich identisch. Es wurden durchaus Dateien gefunden, aber irgendwie weniger das, was ich auf der Festplatte weiß.
Ich werde dahingehend nochmal weiter rumprobieren. Eilt im Prinzip ja nicht sehr.
 
Zuletzt bearbeitet:
R-Studio sollte eigentlich beides machen - die Anzeige von der du gesprochen hast und zusätzlich auch versuchen, dass Dateisystem zu rekonstruieren. Ich hab auch mal einen Screenshot von R-Studio gemacht: bei mir war N: das Laufwerk, welches von TestCrypt bzw. TrueCrypt als gemountet angezeigt wird. Genau auf diesem habe ich per Rechtsklick die Option "Scannen" gewählt. Anschließend hat R-Studio neben "Extra gefundene Dateien" auch noch NTFS-Dateisysteme gefunden. Wenn man auf diese doppelt klickt, so sieht man die dort gefundenen Dateien mit Namen und Pfad.

Da der Header bei dir scheinbar am Beginn der Partition nicht mehr gefunden wird und nur noch der Backup-Header am Ende der Partition vorhanden ist, wurden hier wohl durch irgendwas Daten überschrieben. Damit ist eine Beschädigung des Dateisystems sehr wahrscheinlich. Dein Vorschlag mit dem Wiederherstellen der Partitionen über die anzeigten Daten in TestDisk kannst du probieren - anschließend könntest du dann nämlich mit Linux versuchen, dass Dateisystem zu öffnen.
 

Anhänge

  • R-Studio.PNG
    R-Studio.PNG
    57,1 KB · Aufrufe: 180
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Mueli
Wiederherstellungspartition "verloren" gegangen
Antworten
11
Aufrufe
1.563
Nickel
N
S
Gruppierung in den Bibliotheken verloren gegangen
Antworten
1
Aufrufe
1.989
Scyllo
S
J
Truecrypt Standard Volume verloren/korrupt (?)
Antworten
2
Aufrufe
1.102
JohnDoe42
J
M
Truecypt / Partitionen verloren gegangen
Antworten
5
Aufrufe
2.253
magcig
M
P
Logische Partition nach Windows 7 Installation 'verloren' gegangen
Antworten
9
Aufrufe
3.233
Fiona
F

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz