Truecrypt Container hat nur noch 1KB

[LisaMarie1980]

Hallo Zusammen,

Ich habe ein großes Problem

Als Ich gestern meine externe Festplatte mit dem Rechner verbunden habe kam prompt folgende Fehlermeldung:

"Windows - Datei beschädigt

Die Datei oder das Verzeichnis \System Volume Information ist beschädigt und nicht lesbar. Führen Sie CHKDSK aus."

Was habe ich natürlich getan CHKDSK ausgeführt.

Windows meldete dass das Problem nicht behoben worden konnte und das ich CHKDSK /F ausführen sollte. Und wie ich jetzt im nachhinein feststellen musste war das ein großer Fehler, da ich damit den Schreibschutz aufgehoben habe.

Windows meldete Dateisystem sei wieder hergestellt und meldete auch keine Fehler mehr.


Als ich dann meinen Containerdatei von der externen Festplatte mounten wollte, meldete True Crypt ich glaube eine Fehlermeldung mit dem Wortlaut "Volumengröße nicht zutreffend" oder "Volumengröße fehlerhaft"

Ich total erschrocken auf den Arbeitsplatz die Festplatte geöffnet und dort musste ich feststellen das die Container Datei nur noch 1KB groß ist.


Darauf hin habe ich bis jetzt folgendes ausprobiert, jedoch ohne Erfolg:

1. Den Volumen Header mittels eines Backups des Volumen Headers in TrueCrypt (was mein Exfreund mal gemacht hat) wiederherzustellen, jedoch auch mit der Fehlermeldung das er den Anfang des Volumens nicht finden kann.

2. Darauf hin habe ich google bemüht und bin hier im Forum gelandet, nach längerem lesen bin ich auf das Tool "TESTCrypt" aufmerksam geworden. Leider hat dies auch bei einem vollständigen Scan der Externen Festplatte nichts gefunden.

3. Ein guter Freund meinte mir könnte Get Data Back (NTFS) helfen. Jedoch hätte der Scan über 16 Stunden gedauert. Also Festplatte ausgebaut und per SATA in einen Destoprechner von einem Freund eingebaut. Gab zwar auch noch Probleme bis er Sie richtig erkannt hat, jedoch jetzt wird die Festplatte richtig erkannt.

Der Scanvorgang ist auch bald durchgelaufen.

Ich glaube nicht das die Festplatte defekt ist, da ich von Samsung dieses ESTOOL habe durchlaufen lassen und der Scan der mehrere Stunden dauerte auch keinen Fehler aufzeigte. Ich kann mir diese Fehlermeldung mit der defekten System Volumen Informationen nur so erklären, das ich meine Externe Festplatte nicht immer bevor ich Sie rausziehe unter Windows auswerfe oder doch vielleicht an der doch etwas instabilen Kabelverbindung?


Mein Betriebssystem Windows XP Pro SP3

Bei der Festplatte handelt es sich um eine Samsung HD103SI mit 1TB

Der Containerdatei war mit 700-800GB eigentlich viel zu groß, aber mein Ex meinte damals die müsste so groß sein.

Ich habe große Angst dass jetzt meine gesamten Dokumente und Fotos weg sind.

Ich habe gelesen dass es noch dieses Tool Testdisk gibt, vielleicht gibt es damit doch noch eine Möglichkeit an meine Daten heranzukommen.

Aber leider habe ich keine Ahnung wie ich in diesem Tool vorgehen soll, ob es überhaupt der Richtige weg ist.

Ich bin euch für jeden Tipp und Vorschlag dankbar.

mfg Marie

 

[h3isenberg]

Testdisk wird dir hier nciht helfen.

Hier kann dir nur Truecrypt selbst helfen alle anderen würde ich aus Angst vor einem Daten Verlust weglassen.

 

[h3@d1355_h0r53]

Mach auf keinen Fall irgendwas an der Festplatte, d.h. solange du nicht einen konkreten Plan hast zerstörst du wahrscheinlich mehr als dass du irgendwas rettest.
Hier im Forum gibt es schon Spezialisten für Datenrettung; haben mir auch schon das Leben gerettet. Würde es an deiner Stelle aber auch im TrueCrypt Forum probieren.

Und für die Zukunft: Backups machen. Ich glaube irgendwo auf den TrueCrypt Seiten wird auch einleuchtend erklärt wie man ein sicheres Backup macht, entweder in einen Container oder Platte 1:1 klonen.

 

[newHeilandV2.4]

Hallo,

ich kenne mich auf dem Gebiet auch nicht so gut aus, aber es hört sich so an als ob der TrueCrypt Container auch (teilweise) beschädigt ist.
Ich gehe davon aus, das kein gewöhnliches Festplattentool dir helfen kann, sondern nur noch jemand der den ursprünglichen Truecrypt Container wieder hinbekommt.

Kannst du einigermaßen gut Englisch?
Du solltest auf jeden Fall mal im Forum von Truecrypt.org fragen ob man den Container noch retten kann.

Grüße und viel Erfolg.

 

[smashbrot]

Ich würde mal probieren, mit einem Recovery-Programm (z.b. PC Inspector Smart Recovery) die Festplatte nach dem Container zu durchsuchen und diesen wiederherzustellen.
Wichtig ist dabei nur, dass du die evtl. gefundene Datei auf eine ANDERE festplatte speicherst, da sonst die verschwundenen Daten überschrieben und damit vermutlich nie mehr lesbar werden.

 

[noki49]

Wenn Truecrypt auf deinem PC noch funktioniert, dann kannst du eine Rettungs- CD erstellen. Ich würde denken, daß du mit dieser CD mehr Erfolg hast, als mit normalen Rettungs- Programmen.

 

[LisaMarie1980]

Hallo ihr Lieben,

Danke für eure schnellen Antworten.

@h3isenberg Danke für deinen Tip

@h3@d1355_h0r53 Nein, ich werde nichts an der Festplatte verändern. Soweit ich gelesen habe soll das Forum von TrueCrypt offline sein. Hat sich das geändert? Das mit dem Backup habe ich immer aufgeschoben einfach aus dem Grund der Menge an Daten. Danke für deine Hilfe

@newHeilandV2.4 Das musste ich gerade auch leider feststellen ;-/ Denn Get Data Beck konnte leider nichts finden. Gerade mal 500MB an Dateien. Leider ist mein Englisch sehr sehr schlecht. Das könnte echt ein großes Problem werden.

@smashbrot Danke für den Hinweis, ich werde es mal mit dem Programm versuchen, wird zwar ein Problem werden die Datensicherung zuspeichern bei der größe. Aber ich wäre sehr froh wenn ein Tool den Container überhaupt finden würde.


smashbrot schrieb:

Ich würde mal probieren, mit einem Recovery-Programm (z.b. PC Inspector Smart Recovery) die Festplatte nach dem Container zu durchsuchen und diesen wiederherzustellen.


@smashbrot Leider unterstützt dieses Tool nur folgende Dateitypen:


ARJ | AVI | BMP | CDR | DOC | DXF | DBF | XLS | EXE
GIF | HLP | HTML | HTM | JPG | LZH | MID | MOV | MP3
PDF | PNG | RTF | TAR | TIF | WAV | ZIP

Da der Container aber keine Endung also auch kein Dateityp zugeordnet war, wird die Datei sicher auch nicht gefunden werden.


@noki49 Hi, so ich habe es jetzt mal versucht eine Rettungs-CD zu erstellen, jedoch ist mir aufgefallen, das dieses nur möglich ist bei Verschlüsselten Systempartitionen / Systemfestplatten. Und nicht für Container Dateien oder normale verschlüsselte Datenfestplatten gilt. Irre ich mich hier vielleicht auch?

mfg Marie

 

[newHeilandV2.4]

Hallo Marie,

1. Die ResueDisk hättest du vorher anlegen müssen, weil da einige IndexDaten deines Containers als Backup abgelegt werden. Ich zweifle das dir eine RescueDisk von einem anderen Container helfen wird.

2.du musst jetzt ganz stark sein.
Beim löschen verschwinden Daten nur aus dem Inhaltsverzeichnis, sind aber versteckt noch da. Gleiches gilt meist auch für eine kaputte Partition.
Die gängigen Datenrettungstools finden nur Dateien die nicht mehr im Inhaltsverzeichnis der Partition zu finden sind. ( Wie auch immer man das beim jeweiligen Dateiformat nennt, und wie auch immer es kaputt gegangen ist.)
Das geht also nur wenn die Dateien noch da sind (unbeschädigt).

Offensichtlich hat das CHKDSK/f Kommando munter über deine Daten drüber geschrieben. Also kann der ursprüngliche TC Container nicht mehr als solcher erkannt werden. (Zumindest nicht automatisch).
TrueCrypt erkennt ihn nicht mehr richtig ( wie du geschrieben hast ) und andere Tools werden ihn erst recht nicht mehr erkennen.

Da du ein Backup der Headerdatei und das Passwort hast, ist es vlt. nicht unmöglich noch ein paar deiner Daten zu retten, aber da gibt es wohl keine freeware für.
Falls dir die Sache einiges an Geld wert ist, schafft es vlt. eine professionelle Datenrettung.

Ich rate dir folgendes:
1. Schreib dir den exakten Wortlaut der Fehlermeldungen von Truecrypt auf!
2. Holl dir jemanden dazu der einigermaßen Englisch kann, und fragt im Forum von TrueCrypt an.
Da dein TrueCrypt Container nicht mehr richtig von TrueCrypt erkannt wird, kann das nur noch ein Mensch, der genau weiß was TrueCrypt auf die Platte schreibt und wonach man suchen muss. Falls es da noch kein Tool gibt, kann man das programmieren, was aber eher eine Aufgabe für jemanden ist der schon mit dem Quellcode von TrueCrypt vertraut ist.

Sorry, ein Wechsel ins TrueCrypt Forum wird wohl nicht nötig sein, sehe erst jetzt das hier am Board auch einige Leutz rumkurven die sich intensiv mit der Analyse von Rohdaten und Truecrypt beschäftigen.
Also Marie, hab ein wenig Geduld bis die Profis mal Zeit haben.

 

[LisaMarie1980]

@newHeilandV2.4

Hallo, danke für deine netten Worte.

Ich habe jetzt noch einmal nachgesehen und die Festplatte wird als fast leer angezeigt (<100MB Festplattenbelegung). Die suche mit Get Data Beck hat nur 500MB verlorene Daten finden können.

Ich habe die Platte nur in Verbindung des Containers genutzt, deshalb hoffe ich mal dass diese große Datei noch aufzufinden ist.

Irgendwo meine ich gelesen zu haben, dass Windows die Containerdatei und den dadurch Belegten Speicher auf der Festplatte nur als reinen Datenmüll wahrnehmen würde und deshalb es auch nicht möglich ist diese Datei einfach mittels eines Datenrettungsprogrammes wieder herzustellen. Da damals leider die Containerdatei kein Dateityp zugeordnet worden ist.

Ich habe die Vermutung hätte ich einfach .mp3 angehangen, würde ich Sie jetzt auch wieder finden =/

Danke für deine Hilfe

mfg Marie

 

[Simpson474]

Darauf hin habe ich google bemüht und bin hier im Forum gelandet, nach längerem lesen bin ich auf das Tool "TESTCrypt" aufmerksam geworden. Leider hat dies auch bei einem vollständigen Scan der Externen Festplatte nichts gefunden.

Einen vollständigen Scan hast du ziemlich sicher nicht gemacht - dieser würde wohl selbst auf den schnellsten Rechnern derzeit über 50 Jahre dauern. Allerdings ist TestCrypt hierfür nicht wirklich geeignet - es sucht nach verschlüsselten Partitionen. Als allerletzten Versuch kann man es jedoch noch verwenden, so lange die Container-Datei keine Fragmentierung hat, könnte TestCrypt was retten. Wenn alle anderen Stricke reißen, so könnte man mit einem Hex-Editor und TestCrypt noch ein paar Versuche machen.

Ich kann mir diese Fehlermeldung mit der defekten System Volumen Informationen nur so erklären, das ich meine Externe Festplatte nicht immer bevor ich Sie rausziehe unter Windows auswerfe oder doch vielleicht an der doch etwas instabilen Kabelverbindung?

Das fehlende Auswerfen ist mit die häufigste Ursache für defekte Dateisysteme bei externen HDDs.

Ich habe gelesen dass es noch dieses Tool Testdisk gibt, vielleicht gibt es damit doch noch eine Möglichkeit an meine Daten heranzukommen.

TestDisk kann mit Dateisystemfehlern nur sehr bedingt umgehen - eigentlich ist es hauptsächlich zum Wiederherstellen verlorener Datenpartitionen (unverschlüsselt) geeignet.

Ich habe die Vermutung hätte ich einfach .mp3 angehangen, würde ich Sie jetzt auch wieder finden =/

Nein, das hätte auch nichts gebracht. Einige Datenrettungstools suchen z.B. nach den Dateiheadern (z.B. MP3), allerdings nicht die Endung: bei dem Header handelt es sich um die ersten paar Bytes einer Datei, diese sind für viele Dateiformate eindeutig. Bei TrueCrypt ist das nicht der Fall, die Container sind vollständig transparent und sehen ohne Passwort nur wie Zufallsdaten aus.

GetDataBack für NTFS hast du ja schon probiert, damit habe ich bei Dateisystemproblemen bisher die besten Ergebnisse gehabt. Ansonsten könntest du noch die Demo von R-Studio probieren, das Programm kann nämlich auch direkt NTFS verarbeiten im Gegensatz zu den meisten anderen Tools, welche nur nach Dateiheadern suchen ohne das eigentliche Dateisystem zu verstehen.

 

[LisaMarie1980]

@Simpson474

Hallo Simpson474,

Entschuldige meine Unwissenheit.

Danke das du dir so viel mühe gegeben hast mir so ausführlich zu antworten.

Ich hätte da noch paar fragen.

1 Wie hoch schätzt du überhaupt noch die Chancen ein, das ich überhaupt Daten retten kann?

2 R-Studio werde ich gleich mal ausprobieren.

3 Welche der Einstellungen bei der Scan Funktion bei Get Data Beck sollte ich verwenden?

Danke für deine Mühe

mfg Marie

 

[Simpson474]

Wie hoch schätzt du überhaupt noch die Chancen ein, das ich überhaupt Daten retten kann?

Zu hoch sind sie nicht, da du hier ziemlich von den Datenrettungsprogrammen abhängig bist. Wurde durch chkdsk jegliche Verbindung zur Datei entfernt, so können auch diese Programme nichts mehr anfangen - in diesem Fall wäre wirklich die letzte Hoffnung ein nicht fragmentierter TrueCrypt-Container.

Welche der Einstellungen bei Scan Funktion bei Get Data Beck sollte ich verwenden?

Am ehesten würde ich "Systematischer Dateisystemschaden" sagen. Bei GetDataBack musst du außerdem darauf achten, dass nach dem Scan eine Liste mit gefundenen MFTs angezeigt wird. Am besten speicherst du bei diesem Fenster gleich einmal (natürlich nicht auf die betroffene HDD speichern) und probierst anschließend alle MFTs mal durch.

 

[LisaMarie1980]

Hallo,

ich habe jetzt mal über Nacht einen Scan mit R-Studio durchgeführt. Leider hat er gerade mal 500MB Daten finden können, aber von dem Container keine Spur.

Also hab ich noch einmal einen Scan mit der neuesten Version von GetDataBeck (Version 4.10) gemacht. Er hat 3 Dateisysteme gefunden:

1 NTFS bei Sektor 2.048, Clustergröße 8 (932GB) Grüner Punkt
2 NTFS bei Sektor 2.048, Clustergröße 8 (932GB) Gelber Punkt
3 NTFS bei Sektor 4.419,637, Clustergröße 1 (32GB) Roter Punkt

Die ersten beiden Dateisysteme sehen für mich gleich aus, jedoch beinhaltet das zweite Dateisystem ein paar Ordner mehr.

Jedoch keine Spur von dem Original Container, die Datensicherung würde gerade mal 500MB umfassen.

Die Datei die mein Original Container ersetzt hat, sprich gleiche Bezeichnung und halt nur 512Byte groß ist, finde ich in allen drei Dateisystemen.

Jedoch beinhalten die Dateisysteme den Ordner "System Volumen Information" mit mehreren Unterordnern.

In den Unterordnern der Dateisysteme werden auch gelöschte Dateien angezeigt.

Gibt es vielleicht eine Möglichkeit diese Dateien wieder herzustellen und die durch chkdsk /f erstellt wurden mit den wiederhergestellten Dateien zu ersetzen?

Das der Container wieder erkannt wird?

So langsam verzweifle ich.

Gibt es vielleicht noch ein anders Programm mit dem ich die Festplatte durchsuchen kann?

Wie würde es denn mit diesem "nicht fragmentierter TrueCrypt-Container funktionieren?

Bitte Helft mir, ich hoffe es gibt noch Hoffnung.

mfg Marie

 

[Simpson474]

Die Datenrettungsprogramme können nur so lange noch was finden, wie noch ein Verbindung zur Originaldatei vorhanden ist - scheinbar hat chkdsk hier jedoch alles so hingebogen, so dass Dateisystem zwar wieder in Ordnung ist, die Datei jedoch überhaupt nicht mehr zugeordnet.

Zur TestCrypt-Methode: lade dir zunächst HxD herunter, per Rechtsklick "Als Administrator ausführen" wählen (nur bei Vista oder neuer) und dann unter "Extras" -> "Open Disk..." die betroffene Festplatte öffnen (direkt die physikalische HDD, nicht das logische Laufwerk mit Laufwerksbuchstaben). Jetzt wird es ein bisschen komplizierter - du musst das Ende deines TrueCrypt-Containers finden. Dazu am besten einen Sektor in der Mitte der HDD wählen und dann soweit nach unten scrollen, bis du nicht nur Zufallsdaten siehst. Wenn ein kompletter Sektor z.B. nur mit Nullen gefüllt ist oder sogar lesbare Daten enthält, dann bist du über das Ende des TrueCrypt-Containers hinaus. Anschließend die Nummer des Sektors hier posten, dann berechne ich dir die Daten, die du in TestCrypt eintippen musst.

 

[LisaMarie1980]

Hallo,

Ich habe mir jetzt HxD heruntergeladen und auch geöffnet.

Die Festplatte auszuwählen ist kein Problem für mich gewesen.

Jedoch jetzt fängt es an, ich habe gesehen das man oben den Sektor angezeigt bzw. eingeben kann.

Das mit einem Sektor in der Mitte der HDD auszuwählen habe ich auch verstanden.

Sehe ich jetzt mal ins Hauptfenster des Editors stellen sich mir jedoch einige Fragen.

Wie viel Bytes pro Zeile soll ich einstellen,

Welchen Zeichensatz soll ich verwenden,

und welche Offset-Basis soll ich verwenden?

Ich habe jetzt mal 64 Bytes pro Zeile, ANSI als Zeichensatz und als Offset-Basis hex ausgewählt.

Was habe ich unter Zufallsdaten zu verstehen, z.B. sehe ich im Augenblick in der Mitte des Editors lauter Zahlen und Buchstaben Kombinationen, sind das Zufallsdaten?

Du meinst bis ich einen Sektor finde, der in der Mitte des Editors nur noch durchgehend z.B. 00 00 00 00 aufweisen würde?

Und noch eine Frage, was sind denn lesbare Daten? Wie sehe ich denn das es sich um Lesbare Daten handelt anhand der Zahlenkombinationen?

Du ich finde das echt super Lieb von dir das du mir hilfst.

mfg Marie

 

[Simpson474]

Die Einstellungen sind relativ egal. Da dein TrueCrypt-Container ja im Vergleich zur HDD-Größe relativ groß war, solltest du den ersten Sektor, welcher nicht zum Container gehört, erst gegen Ende der HDD finden.

Am besten ziehst du einfach an der Scrollleiste am Rand nach unten, bis die Daten nicht mehr so zufällig aussehen. Es ist leider nicht so leicht zu erklären, was keine TrueCrypt-Daten sind. Bei TrueCrypt kommt es z.B. so gut wie nie vor, dass 10 Bytes hintereinander den gleichen Wert haben oder das wirklich lesbarer Text (z.B. aus Textdokumenten, Dateinamen) in der rechten Textleiste (rechts neben den Zahlen) angezeigt wird. Außerdem sind wiederkehrende Muster im Text ebenfalls ein Zeichen dafür, dass du bereits hinter dem TrueCrypt-Container bist. Du musst den Sektor auch nicht genau finden, einen Bereich von 100.000 bis 200.000 Sektoren kann man schon mal in TestCrypt scannen lassen.

 

[LisaMarie1980]

Hallo Simpson474,

Irgendwie konnte ich gestern nicht das finden was ich wollte, aber heute mit einem klaren Kopf scheine ich doch Glück gehabt zu haben.

Wie du es beschieben hast, liegt das Container Ende fast ganz am Ende der HDD.

Es scheint der Cluster 1953521655 zu sein.

Da ich mir aber unsicher war, dass es sich wirklich um den besagten Übergang handelt habe ich mal ein Bild gemacht. Bis zum Schluss der HDD folgen nur noch Cluster mit 00 00 00.



Wie geht es den jetzt weiter?

Liebe grüße Marie

 

[Simpson474]

Starte mal TestCrypt und gib beim Custom Analyzer bei Start-Offset 1953421655 und bei End-Offset 1953521700 ein - der Scan wird dann allerdings ein paar Stunden dauern.

EDIT: Der Sektor liegt gerade mal ca. 2MB vom Ende der HDD entfernt - das ist eigentlich zu weit hinten. Kann es sein, dass vor diesem Sektor doch noch welche sind, die keine reinen Zufallszahlen enthalten.