ComputerBase Menü
Aktuelles

MFT bei encrypted HDD

M

Marc.B.

Cadet 4th Year
Registriert
Apr. 2006
Beiträge
106
MFT Problem bei encrypted HDD - bitte Helfen.

Hallo, ich nutze DriveCrypt Plus Pack,
nun habe ich versehentlich beim ändern des Laufwerksbuchstabens bei der verschlüsselten HDD auch noch "Partition als aktiv markieren" angeklickt.. - meine Hand war schneller als die Maus.
Jetzt steht bei meiner 300GB das sie 2 Partitionen hat, einmal 128 & 151,46GB.

--------------------------------------------------------------------------

Nach Kontakt mit SecurStar ist die Platte nun wieder "inacitve" aber die meinten ich soll MFT wiederherstellen.
Windows sieht die HDD immernoch als 2 Partitionen, TestDisk sieht die HDD als 1 Partition wie auch Partition Table Doctor & EasyRecovery.

TestDisk findet bei Analyse nix!

Es handelt sich auf den Bildern um HDD (S:) im Vergleich zu M:, denn M: ist auch verschlüsselt und funktioniert.

Bei DiskPart sieht man, das M: das Dateisystem NTFS hat, bei S:, der kaputten HDD ist die Zeile leer.
Das sieht man auch in der Fehlermeldung PTD von Partition Table Doctor.

Auch sind einige Einträge auf den Screenshots sehr fragwürdig.
.
 

Anhänge

  • diskpart.gif
    diskpart.gif
    12 KB · Aufrufe: 372
  • dtv1.gif
    dtv1.gif
    4,7 KB · Aufrufe: 151
  • testdisk1.gif
    testdisk1.gif
    9,8 KB · Aufrufe: 178
  • ptd.gif
    ptd.gif
    13,3 KB · Aufrufe: 116
  • compare.gif
    compare.gif
    50,3 KB · Aufrufe: 375
  • easyrecovery.bmp
    easyrecovery.bmp
    106,8 KB · Aufrufe: 126
  • testdisk2.gif
    testdisk2.gif
    25,7 KB · Aufrufe: 146
Zuletzt bearbeitet:
Passe mal die Geometry bei Heads auf 255 an, mit 43 ist sie definitiv falsch. Geht im Menü Geometry und führe die Diagnose erneut durch.

Wichtig für die Beurteilung sind der Screen direkt nach der Analyse (der Menüpunkt Quick Search steht ganz unten), das Bild nach Quick Search und der Deeper Scan (dieser besonders wenn der Quick Scan noch nicht sonderlich aussagekräftig ist oder alle erwarteten Partitionen enthält).
 
Wieso gerade 255? - Die 1 TB HDD hat auch "nur" 64 heads und funktioniert.

Ich weiß nicht ob Quick Search & Deeper Scan bei einer verschlüsselten Platte überhaupt etwas bringt?

Und soll man mal Type auf NTFS setzen? So wie bei der andere HDD?
 
Zuletzt bearbeitet:
Generelle Infos zu verschlüsselte Partitionen oder Festplatten und Testdisk;

Testdisk kann nur helfen, wenn du das Laufwerk in der Encryption Software angezeigt wird.
Gegenwärtig wurde es nur mit True Crypt getestet.
Nach dem mounten des Laufwerks in TrueCrypt wird es dann als Drive und nicht als Disk angezeigt.
Von diesem Laufwerk (Drive) kann dann eine Diagnose gemacht werden und auch im Fall repariert werden.

Oftmals ist dazu ein Backup vom Volume Header oder den vorderen Bereich deiner Festplatte wie MBR notwendig, wenn die Partition bchädigt wurde.

Teile mal mit, ob deine encryption software (DriveCrypt Plus Pack) noch anzeigt.
Wenn du es noch mounten kannst, überprüfe ob das Laufwerk (Drive) gelistet wird.
Es kann dann sein, das Partition Table Type None erscheint.
Belasse es dann so.
Eine Diagnose von verchlüsselten Laufwerken in Testdisk über Analyse funktioniert nicht.
Das geht dann im Menü Advanced.
Dem gemounteten Laufwerk muß im Fall der Partitionstyp zugewiesen werden, damit du im Menü Boot eine Diagnose des Bootsektors machen kannst.

Ich weiß im Moment nicht, wie DriveCrypt funktioniert.
Hast du im Fall eine Notfalldiskette oder ähnliches.
Aussage ist wage, da ich es erstmal so nicht beurteilen kann.

Schildere mal dein Fall.
Teile mir mal mit, ob DriveCrypt dir das Laufwerk anzeigt?
Sollte insofern möglich sein, da es sonst nicht klar ist, wie du die MFT sonst reparieren könntest.
Idee vom Support wäre unter Umständen chkdsk, von dem ich nicht so viel beim Datenretten halte.
Wenn dein Laufwerk so angezeigt wird, würde ich versuchen eine Diagnose zu machen.
Gebe mir dazu mal detailliert Infos.

Viele Grüße

Fiona
 
Zuletzt bearbeitet:
Die Geometry ist definitiv bei der 300'er nicht i.O., Du musst im Screen Geometry sollte auf 255 Heads und 63 Sectors gesetzt werden, eine mögliche Geometry wäre noch 16 Heads und 63 Sectors.
Informationen zur Geometry bei Festplatten:
Geometry
 
Hallo Fiona, danke für deine Antwort.
Dir DriveCrypt Plus Pack (DCPP) zu erklären ist relativ kompliziert für mich, ich zitiere mal securstar.com

Wie funktioniert es?

Wenn die Daten von der Festplatte eingelesen werden, entschlüsselt DCPP diese automatisch, bevor sie in die Speicher gelangen. Wenn die Daten wieder zurückgeschrieben werden, werden sie automatisch "zurückverschlüsselt". Dieser Vorgang ist komplett nachvollziehbar für den Benutzer der Anwendung. Für den User ändert sich somit überhaupt nichts am täglichen Umgang mit seinem Rechner. Weiterhin muss erwähnt werden, dass nur einzelne Sektoren im Bedarfsfall entschlüsselt werden (nicht die ganze Platte). Andere Produkte, die ebenfalls den Begriff "on the fly"-Entschlüsselung verwenden, entschlüsseln ganze Dateien, was in jedem Fall ein Sicherheitsrisiko darstellt. DCPP ist smarter und sicherer, weil es nur die benötigten Sektoren entschlüsselt. Somit sind unsichere Daten auf einer DCPP-verschlüsselten Partition nicht möglich.
Zum Vergrößern anklicken....

Die gesamte HDD ist verschlüsselt und wird nicht von DCPP erkannt, soweit ich das beurteilen kann. Wenn ich mich in DCPP einlogge und ich auf die 1 TB HDD zugreifen kann, müsste normalerweise die 300GB HDD auch funktionieren, tut sie aber nicht. Dafür habe cih zum Vergleich bei den Screens immer beide HDDs abgebildet. Beim Vergleich fällt unter anderem auf, dass die 300 GB kein Filesystem hat, im Gegensatz zur 1TB HDD.

@Mueli & Fiona
Warum kann man in TestDisk- Advanced-Type nicht den Type ändern? Er fragt immer New partition type? Und ENTER bringt nix.


Ich will keine DATEN widerherstellen, ich will nur die Festplatte in den ursprungszustand bringen.. der war 300GB, 1 Partition, Aufbau ähnlich wie bei der 1TB HDD. Die 1 TB HDD ist der beste Ausgangspunkt für die 300GB, daran kann man sehen wie die 300GB ungefähr aufgebaut sein müsste!?

@Mueli
PS: ich habe übrigens die Heads auf 255 und die Sectors auf 63 gestellt. Nach einem Neuaufruf mit TestDisk habe ich jetzt 43 Heads und 15 Sectors!??????
 
Zuletzt bearbeitet:
Wenn Du die Werte im Menü Geometry änderst, werden sie zunächst nicht auf die Disk geschrieben, das muss man explizit mit Write machen, aber zunächst solltest Du erst die Screen der Diagnose mit den geänderten Werten posten, damit wir sie beurteilen können. Testdisk schreibt selber ohne nachdrückliche Bestätigung keine Änderungen auf die Festplatte, da muss man auch wissen was man tut. Die Änderungen wirken sich aber bei der Diagnose aus und könnten dann u.U. die Daten wieder sichtbar machen, erst wenn dem so ist und auch keine Ungereimtheiten festzustellen sind, kann man die Werte auf die Disk schreiben. Bei der Datenwiederherstellung ist das oberste Gebot erst einmal keine Änderungen vorzunehmen um die Daten nicht zu gefährden.

Datenwiederherstellung ist gleichbedeutend mit wieder Zugriff auf die Daten bzw. Festplatte zu bekommen. Die Platte hat nach wie vor 300GB, wie Du oben im Testdisk Screen sehen kannst, es brauchen nur ein paar Byte überschrieben worden sein, um den Zugriff auf die 300GB zu verhindern, aber diese Bytes muss man erst mal finden und da sollte Testdisk helfen.
 
Zuletzt bearbeitet:
Mit Heads 255 und Sectors 63
Bei Search sagt er "Structure Ok"
mehr war nicht zu sehen, ich mach jetzt deeper scan.

Deeper Scan Screen ist auch angehangen...


bin arbeiten bis 20uhr... cu

Update:
Bin wieder zu hause...
ich glaube das TestDisk keine Partition gefunden hat ist normal für die verschlüsselte HDD...
Wie gesagt, zum Vergleich haben wir immernoch die andere verschlüsselte HDD, ich glaube wenn wir uns die als "Beispiel" nehmen könnten wir die andere auch zum Laufen bringen... - ist nur eine Vermutung, ich habe ja ehrlich gesagt von TestDisk & Co. keine Ahnung...


Eine Anfrage bei SecurStar welche Teile der HDD verschlüsselt werden ergab folgende Antwort:
All sectors of the HDD are encrypted.
If your have any further questions please ask.
Zum Vergrößern anklicken....
 

Anhänge

  • testdisk1.GIF
    testdisk1.GIF
    9,5 KB · Aufrufe: 138
  • testdisk2.GIF
    testdisk2.GIF
    10 KB · Aufrufe: 135
Zuletzt bearbeitet von einem Moderator: (Doppelpost! Bitte Forenregeln beachten und die Ändern Funktion nutzen.)
Du könntest mal bei SecurStar anfragen, ob MBR und die Bootsektoren auch verschlüsselt sind.

Aber eigentlich kann es nicht sein, denn bei der Geometry von 43 Heads und 15 Sektoren pro Track wird ja eine Partition erkannt, die allerdings nicht die ganze Disk belegt. Du hast auch leider nicht den Screen direkt nach der Analyse (Quick Search ist dann unten zu sehen) gepostet (bei der Geometry 255 Heads und 63 Sectors pro Track).

Gehe bitte auch mal ins Menü Advanced und dort dann auf Boot und zeige das Ergebnis (wieder bei der Geometry 255 Heads und 63 Sectors pro Track).
 
Zuletzt bearbeitet:
So hier Advanced-Boot und direkt nach Quick Search

PS: SecurStar meinte MBR muss man nicht neuschreiben, da es sich um keine Systempartition handelte.

Bei der FRage ob MBR, MFT und Booksektoren encrypted werden..
Yes,everything is encrypted,also the free space from your disk.
Should you have further questions or doubts,please keep in touch.
Zum Vergrößern anklicken....
die sind ja lustig, warum schreiben die dann ich soll es widerherstellen!? -.-

PPS: zum Vergleich könnte man einen Scan auf der 1TB HDD durchführen und sehen ob es da eine Partition gibt....
 

Anhänge

  • advanced-boot.GIF
    advanced-boot.GIF
    10,8 KB · Aufrufe: 139
  • direkt-nach-quick1.gif
    direkt-nach-quick1.gif
    7,8 KB · Aufrufe: 145
Zuletzt bearbeitet:
Jede Disk hat einen MBR (hier ist schließlich die Partitionstabelle enthalten und wenn es nur der Eintrag der erweiterten Partition ist). Wenn wirklich alles verschlüsselt ist, muss ich leider passen (da sie dann auch in keinster Weise in Windows auftaucht dürfte - bestenfalls im Gerätemanager und anderweitig bestenfalls als RAW), denn dann müsste DriveCrypt Plus die Wiederherstellung leisten bzw. Tools dabei sein! Ist darüber nichts im Handbuch beschrieben?
 
Ich schenke der Aussage von SecurStar nicht allzuviel glauben, denn letztendlich erkennt Windows die HDD ja und fragt bei Doppelklick ob man formatieren will...
TestDisk und DiskPart sehen sogar das Dateisystem, also NTFS... da muss ja irgendwas "sein".

Was denkst du, sollen wir NTFS & Heads & Sectors einfach mal festlegen oder ist das Risiko zu groß?

diskpart-gif.106381


compare-gif.106391



<< Wie siehts hier mit dem "Start" aus???

Hast du Skype o.ä.? Dann könnten wir mal quatschen...
 
Zuletzt bearbeitet:
Fragen die mich beschäftigen:
Warum sieht Windows die HDD immernoch als 2 Partitionen, während TestDisk als eine sieht?
Warum ist in TestDisk "Start" bei der 300GB 0 0 1 und bei der 1TB 0 1 1? Und was bedeutet das?
Warum hat die 300GB als Dateisystem FAT16, wobei NTFS wie bei der 1TB normal wäre?

Wie ändert man das?


PS:
Paragon Partition Manager has discovered problems with this partition. It must have been caused by an incorrect geometry
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Der Start 0 0 0 oder auch * 0 0 deutet auf eine erweiterte Partition hin, während * 1 1 eine primäre Partition ist.

FAT 16 deutet eher auf einen Fehler hin, allerdings installiert z. B. Dell eine Partition an den Anfang einer Disk mit FAT 16 (weil dieser Bereich rel. klein ist Reicht FAT 16).

Was da an Partitionen erkannt wird, scheint mir reiner Zufall zu sein, solange man nicht weiß, was diese Software wirklich mit MBR und Bootsektoren veranstaltet, ist es leichtsinnig etwas daran zu ändern. Wenn Du jedoch ein Image von der Disk erzeugst, könnte man schon etwas probieren. Wenn Du Dich mal im Forum umschaust, wirst Du sehen, dass auch die User von Truecrypt so ihre Probleme haben, wenn es um die Wiederherstellung der Daten geht. Gibt denn das Handbuch überhaupt nicht her, was einem helfen könnte?
 
Das mit der erweiterten Partition kann damit zusammenhängen, dass ich die Partition irrtümlich als "aktiv" markiert habe und das sie z.Z. als 2 Partitionen erkannt wird... Insofern sollte 0 1 1 unser Ziel sein. :) - Es handelt sich nicht um einen Dell PC.
Da ich ja die Partition "als aktiv markiert" habe und daraus zwei Partitionen, warum auch immer, entstanden sind.. kann man das rückgängig machen? Also inaktiv ist die Partition inzwischen, jetzt müssen wir eigtl. "nur" noch aus den zwei Partitionen eine machen und theoretisch müsste es dann wieder laufen?????

Soll ich ein Image mit TureImage erstellen? - Dafür müsste TrueImage die HDD erstmal erkennen. :)

Im Handbuch geht es nicht um widerherstellung.^

Ich habe übrigens einen QuickScan bei der 1TB HDD gemacht und auch da wird keine Partition gefunden, scheint also normal zu sein.
Noch eine kleine Anmerkung.. wenn ich mit 255 Heads und 63 Sectors scanne, geht der Scan deutlich schneller.

PS: wenn du ne Frage hast zu dem Programm, die ich dir nicht beantworten kann, kann ich auch SecurStar fragen, die antworten allerdings erst Montag.

Nervt mich langsam das das solange dauert... hab gedacht kurzes Gespräch mit SecurStar und die Platte rollt wieder... :(((

Wenn du mir hilfst alles so anzupassen, wie es auch bei der 1TB HDD ist, dann probiere ich das einfach mal aus....

vorallem bei Advaned Start & End... Bei der 300GB HDD muss aus Start 0 0 1 -> 0 1 1 werden und aus End 85 15 -> 254 63
so, wie ich das erkenne, vielleicht irre ich mich auch aber im Vergleich zur 1TB sieht es so aus, als wäre das richtig...

EDIT: laut Seagte hat die Platte 256 Heads und 63 Sectors...
http://www.seagate.com/support/disc/ata/st3300622a.html

Update:
Mueli haste noch weitere Ideen...? Sonst lass uns das wie gesagt testen... und zuende bringen :-\
 
Zuletzt bearbeitet von einem Moderator: (Doppelpost! Bitte Forenregeln beachten und die Ändern Funktion nutzen.)
Die Antwort auf die Frage, was die Software von SecurStar mit MBR und den Bootsektoren macht wäre schon hilfreich.

Ein Imgae würde ich mit Knoppix und etwa mit dd if=/dev/sdb of=/mount/disc3/ bs=1mb (sdb und der Pfad der 1TB-Disk - ich nehme mal an, hier willst Du das Image ablegen - müssen an die Gegebenheiten angepasst werden), anfertigen, dies kann man dann immer wieder auf die 320'er zurück kopieren. Bei Ziel mit of= (Output File) muss man aufpassen, wenn man hier z.B. /dev/sdc eingibt, wird die Disk gnadenlos und ohne Rückfrage überschrieben, das Image muss unbedingt in ein gemountetes Filesystem kopieren. Das mounten geht bei Knoppix über die Icons auf dem Desktop und ist zunächst Read-Only, Schreibrechte muss man über das Kontextmenü des Icons für das Ziellaufwerk einschalten.

Mit dieser Sicherheitskopie könnte man dann mit verschiedenen 'Experimenten', wie der manuellen Eingabe der Partition probieren.

Die Geometry von Cylinders, 255 Heads und 63 Sectors per Track, ist die Logische Geometry einer Disk, denn die physikalischen Werte von CHS sehen ja ganz anders aus, am Beispiel der 320'er F1 von Samsung mit einem Platter, sind es dann lediglich 2 Heads und die Sektoren pro Track variiert entsprechend des Zone Bit Recordings (ZBR). Um so größer die Anzahl der Heads ist, umso schneller ist Testdisk mit seiner Suche fertig, weil es schlicht und ergreifen weniger Cylinder gibt, die abgesucht werden müssen (kannst bei der 1TB-Disk ja mal spaßeshalber einen Scan mit 16 Heads machen :D ).

Was den Startwert angeht kommt es einfach darauf an, ob die Disk eine erweiterte Partition oder eine primäre Partition hat(te). Du könntest mit 1 1 1 (Partition Start) 36481 254 63 (Partition End) für ein logisches Laufwerk oder 0 1 1 36481 254 63 für eine primäres Partition, probieren. Dies sollte dann alles bei der eingestellten Geometry von 255 und 63 gemacht werden. Die Partition auf dem 1TB Drive ist eine primäre Partition!

Aber ohne Gewähr und auf eigenes Risiko!
 
Äh Linux is doof, weil die 1TB ja verschlüsselt is und ich die also nur in Windows entschlüsseln kann mit dem Programm... Brauch also nen Windows Programm fürs Image..

So wie die 1TB war von der Partition her auch die 300GB...
Wie änder ich Start & End und wie schreibt man das dann auf die HDD?
 
Zuletzt bearbeitet:
Im Menü nach Quick - oder Deeper Search mit A (add partition), auf die Disk geschrieben wird es dann mit Write , wenn man den Dialog weiter geht, könnte sein, dass Du zuvor alle anderen erst löschen musst (habe ich halt selber noch nicht gemacht).
 
Na dann wirds jetzt spannend.. :]

Bestätige mir noch einmal, dass
Start 0 1 1
End 254 63 (Ahh sind das Heads & Sectors?^)

Heads 255
und Sectors 63

sein muss...


EDIT: laut Seagte hat die Platte 256 Heads und 63 Sectors...
http://www.seagate.com/support/disc/ata/st3300622a.html
Zum Vergrößern anklicken....
oder sinds doch mehr Heads?

Ich warte auf deine Antwort und dann wirds gemacht....... jetzt oder nie... - noch bin ich zuversichtlich


ABER hmm.. er findet ja bei keiner der HDDs eine Partition... bei der 1TB auch nicht, was ja normal ist! dann kann ich ja nicht einfach eine hinzufügen...!?
Ich wollte ja Start End ändern und keine Partition anlegen... vorallem, woher nimmt der die Zahlen wenn es z.Z. kenie Partition gibt?
 
Zuletzt bearbeitet:
Die Geometry ist immer in CHS (Cylinder, Heads und Sectors) zu sehen, die Sektor-Size, die es ja auch noch gibt ist gemäß Standard 512 Byte, gezählt wird ab 0 (Null). Bei Intel-Standard geht es bis 254 Heads (0 bis 254 = 255 !), schon bei Vista sieht es bereits wieder anders aus. Die Anzahl der Cylinder multipliziert mit 255 und das wieder multipliziert mit 63 ergibt die Summe an Sektoren auf der Disk (geteilt durch 2 ist dann die Größe der Disk in kB).

Wieso der Wert im Link mit 256 angegeben ist, weiß ich nicht, in meinem Family Guide steht bei der 300'er folgendes:

Drive specification ST3300622A ST3300822A
Formatted Gbytes (512 bytes/sector)* 300
Guaranteed sectors 586,072,368
Bytes per sector 512
Default sectors per track 63
Default read/write heads 16
Default cylinders 16,383
Zum Vergrößern anklicken....

Der Wert 255 ist historisch durch einen Bug in der Übereinkunft (wie so oft in der IT hat man vor vielen Jahren - man erinnere sich an den 'Year 2000 Bug' - nicht alle Bedingungen beachtet oder zuwenig Weitsicht bewiesen) für die Adressierung per CHS.

Die Werte sind somit richtig, wie Du sie oben aufgeführt und ich ja bereits als eine von zwei Möglichkeiten genannt habe. Cylinder ist meines Wissens immer Max-Cylinder - 1, sonst müsste man in den Options 'allow partial last cylinder' setzen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

AccountPasswort
Installation von full-encrypted Debian - Reset ?
Antworten
9
Aufrufe
1.355
AccountPasswort
AccountPasswort
AccountPasswort
Von vera-encrypted microSD live-linux-distri booten?
Antworten
7
Aufrufe
930
Iapetos
Iapetos
R
Offline HDD mit Ubuntu (encrypted) sicher für sensible Daten?
Antworten
10
Aufrufe
867
roman_a
R
P
Encrypted-Partition verschwunden
Antworten
3
Aufrufe
920
U-L-T-R-A
U
L
Laptop & USB-HDD / Aufwecken aus Ruhezustand / Daten $MFT nicht zurückgeschrieben
Antworten
2
Aufrufe
1.427
LaptopFlop
L

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz