ComputerBase Menü
Aktuelles

TrueCrypt Container aus Dummheit gelöscht

H

Harti2011

Cadet 4th Year
Registriert
Juli 2011
Beiträge
104
Hallo zusammen,

ich bin neu hier im Forum und muss sagen ob wohl ich schon öfter mit Datenrettung zu tun hatte - Respekt! Hier gibt es ein paar Leute die richtig Ahnung haben!

Mein Problem betrifft TrueCrypt Container, denn ich habe folgendes verbockt:

Hatte eigentlich alle meine Truecrypt Container 1 : 1 auf einer zweiten Platte gespeichert. Wollte dann meine kleinere Platte aufräumen und habe die Container gelöscht und dummerweise auch schon angefangen Musik (7 GB) raufzuziehen. Später merkte ich dann, dass ich die Container wohl nicht mehr auf der Sicherungsplatte habe :rolleyes:

Da es mehrere verschieden Große Container waren, habe ich die Hoffnung wenigstens noch einen der beiden kleineren wiederherstellen zu können (Bitte kein Kommentar zu meiner Dummheit, darüber ärgere ich mich selbst grade genug und dachte nicht das mir sowas mal passiert... )

Habe bisher mit RecoverMyFiles, GetDataBack gesucht und nichts gefunden...

Meine Platte:
Extern 250 GB (Aktuell nach Musikkopierere 126 GB Belegt)

Vermisste Container:
1 x 50 GB (nicht so wichtig)
1 x ca 15 GB
1 x zwischen 4 und 6 GB

Habe noch einmal 2 Container auf der Platte (15 GB und 10GB). Habe schon mit RandomBlockLocator gesucht und mehrere Blöcke gefunden:

Block: 79863499 LBA - 91484050 LBA 5,9 GB
Block: 91484052 LBA - 109119338 LBA 9,02 GB
Block: 110683368 LBA - 124918153 LBA 7,2 GB
Block: 128317616 LBA - 161115554 LBA 15,6 GB (wahrscheinlich der noch vorhandene, aber wo ist dann der noch vorhandene mit 10 GB)
Block: 171229372 LBA - 197933948 LBA 13 GB
Block: 206271555 LBA - 215124490 LBA 4,5 GB
Block: 251873939 LBA - 259841906 LBA 4,07 GB
Block: 277430255 LBA - 280766506 LBA 1,7 GB
Block: 281024567 LBA - 305620186 LBA 12,5 GB
Block: 315761483 LBA - 326930890 LBA 5 GB
Block: 373618473 LBA - 384075010 LBA 5,3 GB
Block: 389182699 LBA - 406460570 LBA 8,8 GB
Block: 406463071 LBA - 414265578 LBA 3,9 GB
Block: 452584247 LBA - 455744058 LBA 1,6 GB
Block: 476028471 LBA - 488376002 LBA 6 GB

So wie es aussieht ist zumindest der 50 GB Container sicherlich futsch... Aber für den kleinsten habe ich zumindest noch Hoffnung. Mein Problem ist allerdings, dass ich nicht genau verstehe, was das mit den 20000 Sektoren bei TestCrypt und dem Custom Analyzer auf sich hat.
Kann mir hier jemand helfen welche werte er scannen würde??

Danke schonmal an alle!
Grüße,
Harti2011
 
Versuche mit GetdataBack for NTFS die Container Dateien wiederherzustellen.
Wenn du noch nichts weiter drüber geschrieben hast müsste es eig auch klappen - hat mir schon echt viel Arbeit erspart das Proggi ;)
 
Danke für die beiden schnellen antworten! Habe es mit beiden Programmen probiert, finde aber leider die Dateien nicht :(
Habe wie gesagt auch schon wenige Daten (ca 7 GB) draufkopiert, bevor ich mein Missgeschick bemerkt hab und den Kopiervorgang abgebrochen habe... Was mich wundert, ist das ich auch die relativ kleinen Headersicherungen, die ich auch mit in dem Ordner abgelegt hatte, mit keinem der beiden Programme finde. Ich schätze, das die Dateien wegen ihres "Random" Inhalts nicht gefunden werden!? Hatte schon viele Fälle in denen ich anderen Leuten geholfen habe (Arbeite selbst in der IT-Branche) - aber sowas ist mir noch nie passiert!
 
Bei den Datenrettungsprogrammen kannst du R-Studio noch mal ausprobieren, ob dort mehr gefunden wird. Ansonsten lass einfach mal TestCrypt die gefunden Blöcke analysieren: dazu einfach jeweils einen Bereich mit ca. 4000 Sektoren um die gefundenen Start bzw. Endadressen suchen lassen - 20000 Sektoren würde hier wohl zu lange dauern. Für den ersten gefunden Block wären daher die folgenden Bereiche interessant:
79861499 LBA - 79865499 LBA
91482050 LBA - 91486050 LBA
 
Danke für deine Antwort. Werde den Scan unter R Studio über Nacht mal laufen lassen und ansonsten den Scan per TestCrypt in der Früh anschmeißen. Habe übrigens deine letzten Posts zum Thema TrueCrypt gelesen - du scheinst dich dort ja richtig eingearbeitet zu haben - respekt!!
Mit dem RansomBlockLocator werden doch alle Sektoren, die Zufallszahlen enthalten aufgelístet, oder? Es müssten ja dann in meinem Scan zumindest die 2 noch vorhandenen Container mit 10 GB und 15 GB gefunden werden, oder? Den einen vermute ich ja wie in meinem Vorpost geschrieben, entdeckt zu haben. Den mit 10 GB kann ich allerdings nirgends vermuten... Oder verstehe ich an dem Programm etwas falsch?

Danke schonmal für die guten Tipps, werde mich dann morgen nochmal melden!
 
Der RandomBlockLocator wurde mal schnell in einer halben Stunden programmiert, ich weiß mittlerweile von ein paar Problemen mit dem Programm. Ich müsste ein paar Sachen noch verbessern, damit die TrueCrypt-Volumes noch genauer gefunden werden - dazu bin ich aber bisher nicht gekommen.
 
Okay, so wie es aussieht hat R-Studio auch nichts neues gefunden. Allerdings fand er 3 Dateien, deren Namen und Größe nicht erkannt wurden...
Ich habe jetzt mal den Scan per TestCrypt angeschmissen. Bin ich richtig in der Annahme, dass ich in dem Fenster bei CustomAnalyzer die obige checkbox auf "Do not analyze" stelle und unten die Sektorenwerte eingebe?
Habe testweise mal den Block mit ca 15 GB genommen, da dieser ja der noch auf der Platte vorhandene und funktionierende Container sein müsste. Allerdings findet er auch da nichts!?
Wie ist das denn, falls bsp in der Dateimitte etwas fehlen würde - könnte ich sie dann garnicht öffnen, oder würde nur ein Teil der Daten fehlen? Bekomme auch wenn ich das Driversigning abstelle eine Fehlermeldung beim Start. Findet er dann nichts oder kann ich nur nicht mounten? Werde aber vorsichtshalber vielleicht doch mal XP verwenden (Aktuell Win 7 64 Bit)....
 
Harti2011 schrieb:
Ich habe jetzt mal den Scan per TestCrypt angeschmissen. Bin ich richtig in der Annahme, dass ich in dem Fenster bei CustomAnalyzer die obige checkbox auf "Do not analyze" stelle und unten die Sektorenwerte eingebe?
Zum Vergrößern anklicken....
Ja, so sollte das passen. Du kannst auch gleich alle Bereiche auf einmal eintippen und dann den Scan für ein paar Stunden laufen lassen - zumindest wenn die Passwörter gleich sind. Anschließend kann man dann mal schauen, ob was brauchbares dabei rauskommt.

Harti2011 schrieb:
Wie ist das denn, falls bsp in der Dateimitte etwas fehlen würde - könnte ich sie dann garnicht öffnen, oder würde nur ein Teil der Daten fehlen?
Zum Vergrößern anklicken....
Das entscheidende ist, dass man einen Header des Volumes findet - damit kann man das Volume schon mal einbinden. Wenn dann Daten innerhalb des Volumes überschrieben wurden, so ist möglicherweise das Dateisystem zerstört, aber TrueCrypt lässt sich davon nicht aus der Ruhe bringen.

Harti2011 schrieb:
Bekomme auch wenn ich das Driversigning abstelle eine Fehlermeldung beim Start. Findet er dann nichts oder kann ich nur nicht mounten? Werde aber vorsichtshalber vielleicht doch mal XP verwenden (Aktuell Win 7 64 Bit)....
Zum Vergrößern anklicken....
Der Analysevorgang benötigt noch keinen Treiber, nur für das Mounten ist ein Treiber nötig. Bisher hat es eigentlich bei jedem funktioniert, wenn die Treiberbsignatur deaktiviert wurde. Hast du auch alle Dateien von TestCrypt in einem Ordner extrahiert? Außerdem sollte der Ordner nicht auf einem Netzlaufwerk liegen, Windows hat scheinbar Probleme einen Treiber von einem Netzlaufwerk einzubinden.
 
Super, danke dir. Werde den Scan heute einfach mal laufen lassen und sehen was rauskommt. Melde mich dann sobald ich etwas weiß! Vorerst muss ich mich aber nun auch mal wieder der Freundin widmen ;)

Auf jeden Fall schonmal ein rießen Dankeschön!
Ergänzung ()

Sorry nochmal kurz, aber zu deinen Bereichen wie vorgeschlagen müsste ich die Werte doch dann wie im Anhang zu sehen füllen, oder?
 

Anhänge

  • scan.jpg
    scan.jpg
    51 KB · Aufrufe: 236
Hallo Simpson474,

habe jetzt seit einiger Zeit das Scannen am laufen. Leider kann ich keine Container finden. Sollten aber auf jeden Fall mit einer Version > 5.1a erstellt worden sein. Wie ist das denn, wenn ich kurz vor dem Löschen das Kennwort geändert habe? Ist das automatisch auch gleich in dem integrierten Backup Header enthalten??
Hatte auch eine Sicherung der Header gemacht. Leider kann ich diese auch mit keinem Wiederherstellungstool finden. Würden diese mir weiterhelfen können??

Danke abermals! :)
 
Das sieht nicht wirklich gut aus. Du könntest noch probieren, die Scanbereiche zu vergrößern - dabei sollte es reichen, vor allem immer in die Blöcke hinein und nicht nach außen zu suchen: d.h. bei den Startadressen den Scanbereich dazuzählen und bei den Endadressen den Scanbereich abziehen. Ich fürchte halt fast, dass die Container auch noch fragmentiert sind: falls die Partition beim Anlegen der Container noch nie beschrieben war, so sind Container bis ca. 120 GB unfragmentiert möglich - waren jedoch bereits Dateien drauf, so geht der Wert extrem nach unten.

Der Backupheader bringt dir wohl rein gar nichts, da TrueCrypt beim Exportieren des Headers einen neuen Salt erstellt und damit der Header keinerlei Ähnlichkeit zum Originalheader hat. Passwortänderungen werden von TrueCrypt aber sofort an beide Header (Original und integrierter Backup-Header) weitergereicht.
 
Danke Simpson474... Werde mal weiter probieren und sehen was sich ergibt. Dauert halt immer eine Weile, da ich auch die Möglichkeit ausschließen will, Zahlen bzw. Buchstabendreher im Kennwort gehabt zu haben (Bei der Änderung des Kennworts). Somit teste ich grad seit Freitag alle möglichen Varianten der verschiedenen Keys :rolleyes:

Lasse aber wieder was von mir hören wenn es etwas neues gibt!

Jetz erstmal gute Nacht! :)
Ergänzung ()

Mir ist gerade aufgefallen, dass bei TestCrypt der maximal zu prüfende Key bis in etwa 50 oder um den dreh Zeichen geht. Wird hierbei das letzte Zeichen mitgescannt? Mein Key passt nämlich gerade noch in das Feld :D
Ich befürchte schon auch, dass Daten verloren sind. Allerdings komme ich, wenn ich die Blöcke zusammen rechne, ziemlich exakt an die größe, die mir fehlt... Bei drei Dateien ist hoffentlich noch ein Header dabei....
 
Das Eingabefeld in TestCrypt erlaubt bis zu 64 Zeichen - mehr geht bei TrueCrypt nicht einmal auf Low-Level-Ebene. Wenn du das Passwort anzeigen lässt, so kann es sein, dass dieses nicht mehr ohne vertikales scrollen angezeigt werden kann, da keine Monospace-Schriftart verwendet wird und somit durch "breite" Zeichen ein Überlauf möglich ist: verloren geht jedoch von den 64-Zeichen nichts. Auch wenn ich es mir kaum vorstellen kann, aber am ehesten könnten manche Sonderzeichen bereiten, da TrueCrypt nur ASCII-Zeichen zwischen 0x20 und 0x7E akzeptiert und daher die Unicode-Zeichen aus dem Eingabefeld zunächst (hoffentlich verlustfrei) umgerechnet werden müssen. Du könntest dieses Problem ausschließen, indem du eine unbenutzte Festplatte oder einen USB-Stick vollständig mit TrueCrypt unter gleichem Passwort verschlüsselst und anschließend versuchst, dieses Volume per TestCrypt zu finden.
 
Hallo Simpson 474,

vielen vielen Dank schonmal für deine Hilfe... Nach langem Probieren und mehreren Anläufen habe ich es nun
geschafft einen Teil des vermissten Containers zu mounten (hatte ne Weile Urlaub :)). Hatte Wahrscheinlich
im TestCrypt ein falsches Kennwort angegeben.
Insgesamt hat mein Container 20 GB - Nun scheint er aber fragmentiert zu sein. Das an sich ist zwar unschön,
ich habe es aber geschafft, 3 Datenbereiche aneinander zu puzzeln und habe jetzt fast alle Daten. In der
Mitte scheinen allerdings noch 5 - 7 GB zu fehlen.

Nun meine Frage: Gibt es eine Möglichkeit, anhand der Infos, die ich jetzt habe (Größe, Kennwort, Header)
herauszufinden, ab welcher Stelle der Container beschädigt ist, bzw. wo noch ein Block fehlt?

Habe bisher 3 Blöcke - der mittlere ist aber größer und stimmt erst ab einem gewissen punkt. Davor müsste
wahrscheinlich ein anderer Block eingefügt werden...

Hoffe man versteht einigermaßen was ich sagen will :)

P.S: Wie kann ich mich denn für deine Mühe bedanken und dem Projekt eine Spende zukommen lassen??
 
Wie hast du es geschafft, 3 Fragmente zusammenzusetzen? Normalerweise sind zwei Fragmente möglich (das mit dem normalen Header und das mit dem Backup-Header), aber ein drittes Fragment ist so gut wie unmöglich, da man die exakte Position eigentlich nicht treffen kann und bereits ein Sektor-Offset durch die Verschlüsselung zu unlesbaren Daten führt.
 
Nachdem ich den Anfangs und den Endblock hatte, habe ich zuerst mal den ersten block gemountet. Anhand der Größe, die der Ursprüngliche Container laut TrueCrypt hatte, habe ich dann den fehlenden Block mit Nullen gefüllt. Dann habe ich mir die Blöcke, die dein RandomBlockLocator gefunden hat, angesehen, aufgeschrieben und die Größe berechnet. Ein Block war dann nur 3584 Byte größer als der der fehlte. Also dachte ich mir, dass es nen Versuch wert sei. 7 Sektoren hinten abgeschnitten - keine Änderung. Dann einfach zum Test 7 Sektoren vorne abgeschnitten und siehe da, jetzt waren im hinteren Block auf einmal mehr Daten zu finden (via file recovery).

Leider kann ich aber nicht genau feststellen, ab welchem Punkt die Daten nicht mehr konsistent sind. Müsste es nicht möglich sein, anhand des "Fingerprints" (dieser 1024 Bit dingens der am Anfang bei Truecrypt durch Mausbewegung festgelegt wird), zu errechnen, ab welchem Punkt das Volume inkonsistent ist? Da auf der Platte viele Daten lagen und auch mehrere Truecrypt Container, vermute ich, dass es noch einen vierten Teil geben muss. Alles andere als Berechnung wäre nun eher ein Puzzlespiel, dessen Chance wohl gegen Null geht...
 
Zuletzt bearbeitet:
Leider gibt es keine Möglichkeit um festzustellen, ob ein Sektor korrekt entschlüsselt wurde. Die ganzen Zufallsdaten, die TrueCrypt verwendet sind ausschließlich für die Schlüssel- bzw. Salt-Erstellung nötig, es werden jedoch keine Prüfsummen oder ähnliches im verschlüsselten Volume versteckt. Ein verschlüsseltes Volume enthält bis auf die ersten und letzten 128 KB (Header und integrierter Backup-Header) ausschließlich die Daten, die auch bei einer unverschlüsselten Partition vorhanden wären - nur halt verschlüsselt.

Das einzige was ich dir anbieten kann, wäre eine verbesserte Version (zumindest bei mir funktioniert diese deutlich besser) des ursprünglichen RandomBlockLocator - möglicherweise geben die dort gefundenen Blöcke ein anderes Bild.
 
Vielen Dank schonmal für die Antwort. Sowas habe ich mir aber schon fast gedacht :/ Allerdings habe ich gehofft, dass ich falsch liege. Inzwischen ist es schon irgendwie richtig spannend das doch noch hinzubekommen und ist schon fast so eine Art Hobby. Habe sehr viel recherchiert und auch in Sachen Datenrettung & dazugehörige Programme einen weitaus tieferen Einblick erhalten - echt interessant was sich so alles machen lässt! An das richtige Passwort kam ich auch erst nachdem ich mir eine Art Passwortgenerator geschrieben hatte und die Liste per TCBrute durchlaufen ließ.
Bist du beruflich in so einer Ecke tätig, oder woher kommt dein ganzes Wissen in diesem Bereich.

Wäre auf jeden Fall sehr an der neueren Version des RandomBlockLocator interessiert, da der bisherige in der Tat nicht immer ganz exakt war. Habe dann selbst per Hand nachgebessert, was aber gerade im Fall dass zwischen einem *.iso file und einem richtigen Fragment nicht ganz einfach ist. Irgendwann fallen einem die Augen aus :freak:
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
Windows "Überprüfen und reparieren" => TrueCrypt Container gelöscht
Antworten
1
Aufrufe
2.252
Toby-ch
Toby-ch

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz