mit Truecrypt verschlüsselte Festplatte minimal überschrieben

Infect007

Lt. Commander
Registriert
Mai 2008
Beiträge
2.010
Hi,

ich habe letzte Woche meinen PC formatiert und Windows neu installiert.
Vorhandene (relevante) Hardware:

1x SSD mit Windows (10 x64)
1x HDD 1TB mit Truecrypt verschlüsselt

Dummerweise hat Windows bei der Installation (Windows partitioniert die OS Platte ja mit 3 (oder2?) Partitionen) eine 500mb Partition auf die HDD geschrieben -_-
Nachdem ich die Platte dann versucht habe zu entschlüsseln bekam ich eine Fehlermeldung, dass keine zu entschlüsselnde Platte vorhanden sei.

Gibt es eine Möglichkeit noch irgendetwas auf der HDD zu retten?
 
Wenn du den Header des Volumes vorher gesichert hattest, ja, könnte möglich sein.

Wenn nicht, nein, zumindest nicht mit vertretbarem Aufwand.
 
Dazu brauchst du ein wenig Vorwissen und ein Truecrypt Header Backup des betreffenden Volumes. Zudem kann ich dir keine exakte Step-by-Step Anleitung geben, aber ich kann dir das ganze ca. konzeptionell zeigen.

Wenn du KEIN Truecrypt Header Backup deines verschlüsselten Volumes hast, kannst du hier schon aufhören, weil dann war's das, wenn du nicht mit einem Hex Editor umgehen kannst*.

Zuerst ziehst du Mal ein 1:1 Sector-by-Sector Image der Disk, nur um sicherzugehen. Wenn irgendein weiterer, ungewollter Mist passieren sollte, hast du so erst Mal eine Sicherung vom Status Quo.

Dann mußt du wissen, wie deine 1TB HDD genau eingerichtet war. War die partitioniert, oder hast du die rohe Platte direkt verschlüsselt?

Wenn roh, dann mußt du erst Mal alle Partitionen auf der Disk löschen. Danach stellst du dein Headerbackup mit Truecrypt direkt auf die Disk wieder her, und mountest das Volume, das jetzt sicher ein ziemlich beschädigtes NTFS Dateisystem sein wird. Auf dieses Dateisystem läßt du eine NTFS Datenwiederherstellungsssoftware los, und sicherst alles auf einen anderen Datenträger weg.

Wenn partitioniert war, und du mit TC die Partition verschlüsselt hattest, dann mußt du zuerst das vormalige Partitionslayout EXAKT wiederherstellen. Sprich, du mußt die selbe Partitionstabelle (MBR oder GPT) auf die Disk schreiben, die auch vorher drauf war, und auch gleich partitionieren. Wenn das eine 1TB MBR Partition war, dann schreibst also einen MBR auf die Disk, und erstellst dieselbe 1TB Partition wie zuvor. Klar ist, daß die Partition auch exakt an der selben Stelle beginnen und enden muß, wie vor dem "Unfall"!

Jetzt stellst du das Headerbackup auf die Partition wieder her, und hängst sie mit Truecrypt ein. Danach beginnst du wieder mit einer Datenwiederherstellung mit passender Software deiner Wahl auf ein weiteres Medium.

Als Wiederherstellungssoftware kann ggf. TestDisk oder PhotoRec verwendet werden, aber das mußt du dir im Detail anschauen.

*Es ist auch möglich, den eingebetteten Backupheader am Ende des TC Volumes per Hex Editor herauszusuchen und selbigen wiederherzustellen, sofern das Ende des Volumes noch nicht überschrieben wurde. Dazu muß man aber das Ende der vormals gelöschten Partition bzw. des rohen TC Volumes finden, und das korrekte Offset davon "zurückspulen" um den eingebetteten Backupheader zu lokalisieren. Den mußt du dann wirklich exakt herauskopieren und in einer Binärdatei speichern, die dann als Backupheader wiederhergestellt wird.

Das ist NICHT direkt trivial, und ohne Doku zu wälzen, brächte ich das sicher selber nicht mehr zusammen.
 
Autokiller677 schrieb:
Wenn du den Header des Volumes vorher gesichert hattest, ja, könnte möglich sein.

Die Windows Version von Truecrypt hat den Anwender normalerweise immer dazu gezwungen, einen Backup-Header auf CD oder DVD zu brennen, das sollte also eigentlich vorhanden sein. Truecrypt war da wirklich knallhart nach dem Motto: ich habe dir hier schon mal das Image zum Brennen angelegt, und wenn du das jetzt nicht brennst, dann geht es nicht weiter mit der Verschlüsselung. Man hätte sich dem also nur mit Tricksereien entziehen können.

Ob diese DVD/CD natürlich noch irgendwo im Schrank liegt, das ist eine andere Frage...

Ich habe mich auch noch gar nie gefragt, was TC eigentlich in einem System ohne Brenner gemacht hätte.

Die Linux Version von TC hatte dieses erzwungene Header-Backup nie und hat es jedem selbst überlassen, ein das Backup anzulegen, oder nicht.
Ergänzung ()

Admiral*Thrawn schrieb:
*Es ist auch möglich, den eingebetteten Backupheader am Ende des TC Volumes per Hex Editor herauszusuchen und selbigen wiederherzustellen, sofern das Ende des Volumes noch nicht überschrieben wurde. Dazu muß man aber das Ende der vormals gelöschten Partition bzw. des rohen TC Volumes finden, und das korrekte Offset davon "zurückspulen" um den eingebetteten Backupheader zu lokalisieren. Den mußt du dann wirklich exakt herauskopieren und in einer Binärdatei speichern, die dann als Backupheader wiederhergestellt wird.

Na dann, viel Spaß... das hört sich ja super easy an! :evillol:
 
Zuletzt bearbeitet von einem Moderator:
highks schrieb:
Die Windows Version von Truecrypt hat den Anwender normalerweise immer dazu gezwungen, einen Backup-Header auf CD oder DVD zu brennen, [...]
Das gilt aber nur für die Systemverschlüsselung ("C:"), und nicht für reine Datenvolumes. Unter Linux gibt es keinen Truecrypt Kerneltreiber (für die initrd), und damit auch keine Systemverschlüsselung.

Wennst eine normale Datenpartition verschlüsselst, fragt Truecrypt den Benutzer nicht Mal danach, ob er den Header sichern möchte. Da muß man dann selber draufkommen. Das ist (leider) auch unter Windows so.
 
Zurück
Oben