Truecrypt 4.3a-Partition (hidden) nur noch als RAW erkannt

[a.o]

Hallo,

unter XP Home SP2 hatte ich auf meinem NB eine abgetrennte Partition als "normal volume" mit Truecrypt 4.3a formatiert und eingerichtet. Dort hatte ich ein paar Dateien abgelegt (für die "plausible deniability", das nur so am Rande). Dann hatte ich auf diesem "normal volume" ein "hidden volume" angelegt.

Kürzlich habe ich die "protect" Funktion vergessen (d.h. den Schutz des "hidden volume", falls Daten auf das "normal volume" geschrieben werden), dabei auch noch ein ca. 60 MB große Datei auf dem "normal volume" abgelegt und dann wieder gelöscht.

Seither ist das "hidden volume" zerschossen - es wird nach dem Mounten mit Truecrypt in Windows mit LW-Buchstaben zwar als "RAW" angezeigt, aber der Inhalt lässt sich nicht mehr einsehen. Windows fragt dann, ob ich formatieren will.

D.h., dass Truecrypt das "hidden volume" zwar noch Mounten kann, aber der Inhalt ist nicht sichtbar. Ein Restore des Volume Headers hat leider auch nichts gebracht. Aber das liegt wohl daran, dass dieser noch ok ist, denn sonst hätte Truecrypt das "hidden volume" ja auch gar nicht mounten können. Richtig?

Die Demo von GetDataBack for FAT zeigt beim Scan an, dass etliche Dateien gefunden wurden. Aber nach dem Scan wird kein Dateisystem gefunden, so dass ich nichts auswählen kann. Hier ist dann mit diesem Tool dann wohl Schluss, oder?
Zwischenzeitlich werde ich noch ein paar andere Optionen des Tools ausprobieren.

Bestehen noch andere Möglichkeiten, einige Daten zu retten?
Welche Mittel kommen am ehesten in Betracht?

Vielen Dank für Eure Hilfe!

 

[Fiona]

Mache mal eine Diagnose mit Testdisk, ob deine Daten angezeigt werden.
Lade dir die neueste beta.
https://www.computerbase.de/downloads/systemtools/festplatten/testdisk/
Binde dein TrueCrypt-Laufwerk ein (mount).
Starte Testdisk durch, bis du zu Laufwerksauswahl kommst.
Wähle dein Drive (nicht disk) als dein Truecrypt-Laufwerk.
Bestätige weiter und bestätige bei Partition Table Type None.
Bestätige bei Advanced.
Weise bei Type dein Partitionstyp (FAT32? oder NTFS) zu.
Bestätige bei Boot und gehe mal auf List und teile mit was angezeigt wird.
Setze mir einen Screen.
Gehe auchmal im Fall auf Rebuild BS und lasse es laufen (setze mir hinterher einen Screen).
Gehe auch auf List und teile mit ob deine Daten oder eine Fehlermeldung angezeigt wird.
Weitere Infos folgen.
Bin erst ab nachmittag wieder da.

Viele Grüße

Fiona

 

[a.o]

Hallo Fiona, herzlichen Dank für Deine Hilfe!

Nach [ List ] => Screenshot 1
Nach [ Rebuild BS ] => Screenshot 2
Nach [ List ] => Screenshot 1 (also identisch zu vorher)

Einige meiner Dateien scheinen auf den ersten Blick noch da zu sein, aber es werden auch etliche nicht angezeigt.
In einem Unterverzeichnis von "_documents" müssten noch einige weitere Unterverzeichnisse mit Dateien kommen, aber das Unterverzeichnis enthält nur ein weiteres Unterverzeichnis. Gibt es eine Chance, an die anderen auch noch dranzukommen?

Wäre es z.B. sinnvoll, statt der XP-Version von TestDisk die Linux- oder OS X-Version zu verwenden, die ja offenbar auch mit Truecrypt-Partitionen umgehen kann? Oder bringt das in meinem Fall keinen Vorteil?

Übrigens habe ich das betroffene "hidden volume" (drive Y: ) versuchsweise (read-only) ohne das "normal volume" (drive Z: ) mit Truecrypt gemountet, aber das Ergebnis scheint identisch zu sein im Vgl. zum Mounten von 1. dem "normal volume" und dann 2. dem "hidden volume". Wäre hier kein Unterschied hinsichtlich der Recover-Möglichkeit von Dateien zu erwarten?

Wo kann ich vor dem Aufruf von TestDisk einen anderen Recover-Pfad festlegen? Ich möchte nicht mit [c]opy alle noch zu rettenden Dateien nach "C:\Program Files\Testdisk\win" kopieren, weil auf C: nicht mehr ausreichend Platz ist.
.

 

[Fiona]

Nei es bringt nichts eine andere Version zu nehmen, da Testdisk für Windows unter Cygwin (ist auch Unix) läuft.
Macht somit keinen Unterschied.
Im Fall wegen kann eine Diagnose unter DOS gemacht werden.
Sollte regulär keine Änderungen beinhalten.
Infos und Hilfe folgen im Fall.

Geht darum um das Problem einzugrenzen.
Normal wird eine Partition nach Verchlüsselung unter Windows als unformatiert angezeigt, da Wwindows nur mit FAT oder NTFS umgehen kann.
Beschreibe mir mal, wie du eine 60 MB-Dtei darauf bekommen hast.
Ist ungewöhnlich und daher von mir der Veraacht auf Bootsektor oder Partitionstabelle.
Hidden bedeutet nur, das die Partition unter Windows nicht erkannt wird, und hat den Vorteil, das Windows dieses unformatierte Volumen nicht formatieren möchte.

Brauche daher noch Details.

Kopieren kannst du auch die Daten auf ein anderes Laufwerk.
Wenn du immer die zwei Punkte markierst und mit Eingabe bestätigst, kommst du einen Pfad höher.
Bis du deine Laufwrksauswahl siehst.
Diese kannst du dann auswählen und auf ein intaktes Ziellaufwerk oder Ordner kopieren.
Infos auch hier;

Wenn du p drückst und bei einer FAT7NTFS-Partition eine Daten siehst, kannst du eine Datei oder Ordner markieren und c für copy drücken.
Wenn du nur den einzelnen Punkt markierst, kannst du das ganzes Laufwerk kopieren.
Dann wirst du nach dem Pfad gefragt. wenn du auf die zwei Punkte gehst, kommst du immer ein Ordner höher bis du deine Festplatten siehst.
Dort kannst du auch eine andere Festplatte auswählen.
Mit dem Links oder Rechtspfeil kannst du in einen Ordner gehen.
Wenn du dann mit y bestätigst, fängt Testdisk an zu kopieren.
Infos zum kopieren nochmal hier!
https://www.computerbase.de/forum/t...riff-partition-tot-virus.271534/#post-2656055

Viele Grüße

Fiona

 

[a.o]

Normal wird eine Partition nach Verchlüsselung unter Windows als unformatiert angezeigt, da Wwindows nur mit FAT oder NTFS umgehen kann.
Beschreibe mir mal, wie du eine 60 MB-Dtei darauf bekommen hast.
Ist ungewöhnlich und daher von mir der Veraacht auf Bootsektor oder Partitionstabelle.

Warum ungewöhnlich? Ok, ich versuche, es präziser zu formulieren:
Ich hatte also ein "normal volume" (drive Z ; in Truecrypt: \Device\Harddisk0\Partition2, 16.8 GB, AES) erstellt und darin ein "hidden volume" (drive Y ; in Truecrypt: \Device\Harddisk0\Partition0, 16.8 GB, AES), welches fast das gesamte "normal volume" ausfüllt, wo ich nur ein paar kleinere Dateien abgelegt hatte.
Von da an hatte ich ausschließlich das "hidden volume" verwendet - bis vor ein paar Tagen, als ich mangels Platz ein Gentoo-ISO von ca. 60 MB auf das "normal volume" (drive Z: ) gespeichert habe. Nach der Installation von Gentoo (auf einem völlig anderen LW) hatte ich das ISO wieder gelöscht. Und erst einen Tag später stellte ich beim nächsten Versuch, das "hidden volume" zu mounten, fest, dass es nicht mehr ging.

Ich mounte immer zuerst "normal", und zwar mit "hidden volume protection", dann das "hidden volume".

Nur leider hatte ich die "hidden volume protection" an dem Tag vergessen, als ich die 60 GB große ISO-Datei auf dem "normal volume" abgespeichert habe, und ich vermute, dass dadurch das im "normal volume" versteckte "hidden volume" teilweise zerschossen wurde.

EDIT:
Ich habe mal alle Netz-LW sowie das CD/DVD-LW ausgeklinkt, so dass nur noch drives C: und Y: (das "hidden volume", mounted as read-only) sichtbar sind und noch einmal TD gestartet. Die Screenshots sowie das Logfile hänge ich hier an.
Dort steht u.a.:

Boot sector
Status: Bad

Backup boot sector
Status: OK

Sectors are not identical.

A valid NTFS Boot sector must be present in order to access
any data; even if the partition is not bootable.
NTFS Volume is dirty.

Lässt sich hier mit einem Restore evtl. etwas verbessern?

Natürlich darf ich das "hidden volume" dann nicht als read-only mounten, aber bis dahin wollte ich mir nicht noch mehr zerschießen. Leider habe ich derzeit kaum Möglichkeiten, die 16 GB komplett 1:1 zu sichern, um dann mit dieser Sicherung weiterzuarbeiten. Daher bin ich mit Schreibvorgängen auf diesem "hidden volume" sehr vorsichtig.

 

[a.o]

... und hier die restlichen Screenshots und das Logfile in der Codebox, da man nur max. 4 Anhänge pro Beitrag einstellen kann:

Fri Jun 20 10:20:53 2008
Command line: TestDisk

TestDisk 6.10-WIP, Data Recovery Utility, May 2008
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
OS: Windows XP SP2
Compiler: GCC 4.3, Cygwin 1005.25 - Jun 17 2008 20:43:04
ext2fs lib: 1.40.10, ntfs lib: 10:0:0, reiserfs lib: 0.3.1-rc8, ewf lib: 20080501
disk_get_size_win32 IOCTL_DISK_GET_LENGTH_INFO(/dev/sda)=60011642880
filewin32_getfilesize(\\.\PhysicalDrive2) GetFileSize err Unzulässige Funktion.

filewin32_setfilepointer(\\.\PhysicalDrive2) SetFilePointer err Unzulässige Funktion.

Warning: can't get size for \\.\PhysicalDrive2
disk_get_size_win32 IOCTL_DISK_GET_LENGTH_INFO(\\.\C:)=41943089664
disk_get_size_win32 IOCTL_DISK_GET_LENGTH_INFO(\\.\Y:)=18035507200
file_read(4,1,buffer,117225359(7752/239/63)) lseek err Invalid argument
Hard disk list
Disk /dev/sda - 60 GB / 55 GiB - CHS 7752 240 63 (RO), sector size=512 - FUJITSU MHT2060AH PL
Drive Y: - 18 GB / 16 GiB - CHS 35225600 1 1, sector size=512

Partition table type (auto): Intel
Drive Y: - 18 GB / 16 GiB
Partition table type: None

Interface Advanced
   P Unknown                        0   35225599   35225600
Change partition type:
   P NTFS                           0   35225599   35225600

ntfs_boot_sector
   P NTFS                           0   35225599   35225600
NTFS at 0/0/1
filesystem size           8070872540993599803 35225600
sectors_per_cluster       16 8
mft_lcn                   16626358 786432
mftmirr_lcn               850699104 2201599
clusters_per_mft_record   -89 -10
clusters_per_index_record 66 1
Boot sector
Status: Bad

Backup boot sector
Status: OK

Sectors are not identical.

A valid NTFS Boot sector must be present in order to access
any data; even if the partition is not bootable.
NTFS Volume is dirty.

   P NTFS                           0   35225599   35225600
Directory /
       5 dr-xr-xr-x     0      0         0  8-Oct-2007 11:38 .
       5 dr-xr-xr-x     0      0         0  8-Oct-2007 11:38 ..
    4205 dr-xr-xr-x     0      0         0 13-Jun-2008 11:30 Gentoo
    9138 dr-xr-xr-x     0      0         0 13-Jun-2008 12:35 Photo Recovery
      29 dr-xr-xr-x     0      0         0  8-Oct-2007 11:47 Program Files
     190 dr-xr-xr-x     0      0         0 12-Oct-2007 08:12 RECYCLER
      27 dr-xr-xr-x     0      0         0  8-Oct-2007 11:43 System Volume Information
    1359 dr-xr-xr-x     0      0         0  8-Oct-2007 11:58 temp
    1705 dr-xr-xr-x     0      0         0 12-Oct-2007 08:25 _bak
      78 dr-xr-xr-x     0      0         0  8-Oct-2007 14:28 _documents
    2593 dr-xr-xr-x     0      0         0 24-Oct-2007 17:03 _user

TestDisk exited normally.

Mich wundert es jetzt, dass "Gentoo" auf dem "hidden drive" liegt, da ich es auf dem "normal drive" abgespeichert hatte.
Die Speicherung auf "normal" hat sicherlich stattgefunden, aber evtl. habe ich es später noch nach "hidden" kopiert.

Ich erwähne das nur, da ich ja vermute, mir mit der Speicherung des Gentoo-ISOs auf dem "normal volume" das "hidden volume" zerschossen zu haben, da die "hidden volume protection" nicht aktiviert war. Ist das plausibel oder spielt es keine Rolle?

Sorry, falls ich mit meinen Fragen evtl. zu viele Nebenschauplätze eröffne, die vielleicht gar nicht relevant sind. Im Fall bitte ich darum, dies einfach zu ignorieren, so dass wir weiter strukturiert vorgehen können, das Problem einzugrenzen und ggf. noch mehr Daten retten zu können.

Nochmals ganz herzlichen Dank für die freundliche und kompetente Unterstützung!

 

[a.o]

Falls ich noch etwas anderes ausprobieren und/oder noch weitere Logs/Screenshots anhängen sollte, bitte Bescheid geben.
Ansonsten wüsste ich derzeit nicht wirklich wie ich die evtl. noch fehlenden Dateien retten könnte (z.B. Restore des Boot Sectors aus der BS Kopie?).

Es handelt sich hauptsächlich um PDF- und MS Word-Dateien. Sollte ich zu deren Restore evtl. noch PhotoRec versuchen? (dort muss man dann aber alle Dateien umbenennen, weil alle "f0248347" o.ä. heißen)

 

[Fiona]

Sorry for late!
Deine Partition kannst du normal mit Backup BS wiederherstellen.
Hat aber ein Fehler im Dateisystem und kann unter Windows Probleme bereiten.
Testdisk zeigt bei dir den Fehler an und das dein Dateisystem bereits für chkdsk markiert ist.
Ist das Flag Dirty;

NTFS Volume is dirty.

Option wäre über Start / Ausführen / cmd und chkdsk Laufwerksbuchstabe: /r
Sichere Alternaive ist Datenrettungssoftware, da diese nur lesend auf dein Datenträger zugreift.
Nimmt somit im Gegendsatz keine Änderungen am Dateisystem vor.
Im Fall wenn du kostengünstige Datenrettungssoftware in der Testversion testen möchtest, versuche es mal mit Scavenger und mache mal einen langen scan.
Zumindest siehst du den Zustand deiner Daten.
http://www.de.quetek.com/prod02.htm


Viele Grüße

Fiona

 

[a.o]

Danke, Fiona, ich werde doch noch ein Backup (1:1-Klon) versuchen, bevor ich mit dem BS Restore etc. beginne (habe inzwischen genügend Platz für die Kopie). Vor dem BS Restore sichere ich auch noch den derzeitigen BS, damit ich den dann nachher auch noch einmal zurückspielen könnte, falls nötig.

Habe ich Dich richtig verstanden, dass chkdsk erst nach dem BS Restore laufen kann?
Denn derzeit kommt beim Versuch von chkdsk diese Meldung:

Checking the file system on the TrueCrypt volume mounted as Y:...
Der Typ des Dateisystems ist RAW.
CHKDSK ist für RAW-Laufwerke nicht verfügbar.

Meinst Du, dass die von Dir genannte (Demo-)-SW noch bessere Rettungsmöglichkeiten als TestDisk bietet? Ich finde TestDisk schon sehr mächtig.

Leicht OT:
Gibt es eine Möglichkeit, mit PhotoRec gesicherte Dateien mit ihrem richtigen Namen zu speichern? TestDisk zeigt ja bei etlichen Dateien deren korrekten namen an, so dass diese auch noch vorhanden sein müssten. Trotzdem sichert PhotoRec grundsätzlich immer alle Dateien so ab: "f748929" o.ä. Da dauert das Kontrollieren, Gruppieren und Umbenennen von zig .pdf- und .doc-Dateien schon sehr lange.
Gibt es außerdem a priori bei PhotoRec eine Möglichkeit, nur Dateien einer bestimmten Größe (bzw. von x KB bis y KB) zu sichern? Aüch das würde eine Menge manuellen Umtriebes sparen.

Schönen Abend!

 

[Fiona]

Ohne Bootsektor wird dein Dateisystem nicht erkannt.
Das bedeutet, chkdsk kann nicht ausgeführt werden.
Nach Backup BS sollte es funktionieren.
Du mußt eine genaue Sektorkopie machen.
Bitte bedenke, das Backup Image Software nur Sektoren mit Daten speichert, und dieses wieder mit den Partitionsinfos wiederherstellt.
Daher kann es sein, das verlorene Dateien nicht mitgesichert werden.
Ist aber wichtig, das diese mitgesichert werden.
Neuere Versionen von Acronis True Image, sollten eine genaue Sektorkopie von einer Festplatte anbieten.
Infos zu Klone-Programme auch hier im Post weiter unten;
https://www.computerbase.de/forum/threads/faq-datenrettung-testdisk-anleitung.110869/#post-1793553

Auch Infos zu Knoppix und klonen;
http://www.cgsecurity.org/wiki/Beschädigte_Festplatte

Scavenger ist normal günstig.
Wenn die Eregbjisse gut sind, deine Ordnerstruktur und Dateinamen in der Testversion richtig angezeigt werden, ist es eine Alternative.

Viele Grüße

Fiona

 

[a.o]

Hallo Fiona,

nach einem BS Restore und chkdsk wurden offenbar alle Dateien und Verzeichnisse wiederhergestellt.

Jetzt mache ich erst einmal das dringende Backup auf eine 2. Platte bzw. DVD und werde zukünftig alles automatisch zeitgesteuert mittels ccc auf meinem NAS abspeichern. Auf dem Mac ist das ja dann kein Problem mehr.

Nochmals mein ganz herzlicher Dank für Deine tolle, kompetente Hilfe!

Das war wirklich ein Spitzensupport, und auch der Hinweis auf TestDisk ist wirklich Klasse!

Einen spannenden Abend - vielleicht beim Fußball?!

 

[Fiona]

Freut mich das es geklappt hat!

Viele Grüße

Fiona