truecrypt container wiederherstellen

[Simpson474]

Zunächst einmal sollte Sektor 976.820.031 der 1 TB HDD auf Sektor 0 oder Sektor 1 (ich bin mir bei den Angaben für dd jetzt nicht ganz sicher) der 2 TB HDD gespiegelt werden. Dazu unter Linux mit folgendem Befehl klonen:

sudo dd if=/dev/sd? of=/dev/sd? bs=512 skip=976820030 seek=0

Alle Angaben sind ohne Gewähr. Die Fragezeichen müssen mit dem entsprechenden Buchstaben der Festplatte ersetzt werden. Achtung: bei dd gibt es keine Sicherheitsabfragen oder ähnliches. Die Dateien bei "if" und "of" müssen passen, sonst wird in die falsche Richtung oder auf eine ganz andere HDD geschrieben. Du kannst zunächst gparted starten, damit siehst du zusätzlich zur Datei den Namen der HDD. Nachdem das Klonen abgeschlossen ist, solltest du am besten zunächst mal Windows starten und schauen, ob du in TestCrypt die HDD einbinden kannst, wenn du in folgendem Bereich suchst: 0 - 128

Sollte das funktionieren, dann kann man probieren den zweiten Teil des Containers mit dd zu klonen - die Daten rechne ich aber erst dann aus, wenn es soweit schon mal funktioniert hat.

"if" - input file: 1 TB HDD
"of" - output file: 2 TB HDD
Weder bei "if" noch bei "of" solltest du eine Zahl hinter der Datei haben - es sollte z.B. wirklich nur /dev/sda dortstehen und nicht /dev/sda1.

 

[hoermann]

So bin jetzt im Live Linux Ubuntu 11.04

Habe alle nicht erforderlichen Datenträger abgesteckt (zur Sicherheit).

sda ist die alte 1TB HDD
Sdb ist die neue 2TB HDD

Soll ich die bereits mit dem Backupimage belegte 2TB HDD vorher löschen? Wenn ja wie machen ich das in Ubuntu am besten (bin linux technisch nicht ganz so sehr bewandert)

 

[Simpson474]

Löschen brauchst du nicht, der MBR wird sowieso mit dd überschrieben. Der Aufruf sollte bei dir dann so aussehen:

sudo dd if=/dev/sda of=/dev/sdb bs=512 skip=976820030 seek=0

EDIT: dd gibt keine Fortschrittsanzeige - da mit 512 Byte Blöcken kopiert wird (war am einfachsten zum Berechnen) darfst du den Rechner wahrscheinlich über Nacht durchlaufen lassen.

 

[hoermann]

Habe den Befehl jetzt gestartet und es kam keine Meldung der Cursor ist nur eine Zeile tiefer gesprungen und blinkt dort. Ok gparted zeigt das sich was geändert hat. Bin gleich im Windows zurück.

EDIT: Habe gerade noch Deinen Edit gelesen. Das Terminal ist noch geöffnet. aber ich höre die Festplatten nicht mehr arbeiten.

EDIT2: HDD-LED ist am flackern also wird wohl noch was kopiert.

 

[Simpson474]

Wirklich rattern tun die HDDs bei sequentiellen Zugriff normal nicht, die HDD-LED sollte jedoch an sein bzw. blinken. Du kannst auch ein weiteres Konsolenfenster und Linux öffnen und folgenden Befehl eintippen:

sudo pkill -USR1 dd

Damit sollte dd eine Fortschrittsmeldung ausspucken.

 

[hoermann]

Alles klar DD zeigt zwar nur den aktuellen Stand an aber dann gebe ich den Befehl "sudo pkill -USR1 dd" halt später nocheinmal ein. Momentan sind 25GB kopiert mit 28MB/s

Also lass ich dd mal über Nacht werkeln. ich werde morgen früh einmal den mount in Windows testen und schreiben und dann melde ich mich nach Feierabend nochmal.

Vielen Dank schonmal für Deine Zeit und Hilfe.

Gute Nacht.

Ergänzung (5. Mai 2011)

Guten Morgen,

so dd hat sein Werk vollendet und zurück in Windows kann ich mit TestCrypt das Laufwerk erfolgreich mounten. UnterArbeitsplatz kann man schon erkennen das es ungefähr hin haut ca 400gb von 976 frei so war der Container gefüllt gewesen. So jetzt gehts auf Arbeit.

Gruß hoermann

Ergänzung (5. Mai 2011)

So bin wieder Daheim, was soll ich als nächstes durchführen?

Ergänzung (5. Mai 2011)

Ich hab jetzt nochmal die 2TB mit TestCrypt gemountet und auch mal unterm Arbeitsplatz das Laufwerk geöffnet. Uuund wie geil ist das denn es ist alles wieder da als hätte ich mein normalen TrueCrypt Container geladen. Also Simpson474 absolut geniales Kung Fu Deine Tools und Dein Wissen aller herzlichen Dank. Ich könnt "piep" :-)

Man müsste das zu einer Art Anleitung umwandeln man weiß ja nie ob es nochmal passiert.

Vielen vielen Dank Simpson474

Ergänzung (5. Mai 2011)

Hab jetzt mal einige Unterordner durchsucht und manche sind wohl noch nicht verfügbar aber der größte Teil kann geöffnet werden.

 

[Simpson474]

Fehlen noch wichtige Daten? Es wird sehr schwer werden, an 100% der Daten zu kommen - allerdings könnte man durch die zweite Kopie noch versuchen, zumindest noch mehr Daten zu retten.

 

[hoermann]

Ich hab jetzt mal alles durchsucht und das was fehlt bekommt man wieder organisiert :-)

Ich glaub wir lassen es so, obwohl ich schon gern wüsste ob mehr möglich wäre :-)

 

[Simpson474]

Die TrueCrypt-Volume Größe in LBA umgerechnet:

976.601.481.216 / 512 = 1.907.424.768 LBA

Ein TrueCrypt-Header-Gruppe (Normal und Hidden Volume Header) hat 128KB. Die Volume Size ist wenn ich mich nicht Irre ohne den TrueCrypt-Header, daher:

131.072 / 512 = 256 LBA
1.907.424.768 + 256 = 1.907.425.024 LBA

Als Größe nehme ich einfach mal die Daten aus dem RandomBlockLocator (Block: 6701375 LBA - 937426626 LBA) - diese kann jedoch zu groß sein. In diesem Fall könnte es passieren, dass du auf der 2 TB HDD nicht mehr alle Daten lesen kannst, die jetzt vor dem zweiten Kopiervorgang lesbar sind. Leider kannst du keine Partition auf der 2 TB HDD erstellen um die Daten zunächst mal zu kopieren, da dies den TrueCrypt Header wieder überschreiben würde.

937.426.626 - 6.701.375 = 930.725.251

Da beim ersten Kopiervorgang der Header nicht bei LBA 0 sondern wie befürchtet bei LBA 1 gelandet ist, muss dieser Offset auch noch drauf. Das sollte folgenden Startoffset auf der 2 TB HDD ergeben:

(1.907.425.024 + 1) - 930.725.251 = 976.699.774 LBA

Der Aufruf von dd sollte also wie folgt aussehen:

sudo dd if=/dev/sda of=/dev/sdb bs=512 skip=6701375 seek=976699774 count=930725251

Angaben wieder ohne Gewähr - mich würde es schon fast wundern, wenn der Offset wirklich auf Anhieb korrekt ist.

 

[hoermann]

Hab noch ein paar HDDs da da kann ich meine jetzigen Daten ja verteilen hatte nur keine um die komplette fehlerbehaftet zu sichern. Also werde ich ersteinmal alles sichern worauf ich jetzt schon zugreifen kann (wird sicher auch ne Weile dauern)

 

[Simpson474]

Was ich noch vergessen habe - stell vor dem Kopiervorgang sicher, dass die Namen der HDDs gleich geblieben sind. Bei mir würfelt sogar Windows gerne von einem auf den anderen Start die Laufwerksnummern durcheinander ohne das irgendwas an der Festplattenkonfiguration verändert wurde - das kann bei "dd" böse ins Auge gehen.

 

[hoermann]

So ich habe alle wichtigen Daten gesichert was wirklich genial ist dank Deiner Super Hilfe. Vielen Dank nochmal.

Ich lasse jetzt den 2ten Durchlauf mit dd über Nacht laufen.

Mit Welchen Werten soll ich dann die neue HDD mounten? wieder mit 0-128 suchen?

Gruß hoermann

Ergänzung (7. Mai 2011)

Moin Moin,

so hab die HDD mal wieder unter Windows gemountet und es schein alles beim alten geblieben zu sein.

 

[Simpson474]

Such mal zusätzlich zu 0-128 auch bei 1907424768-1907425768 - danach sollten zwei Header gefunden werden. Falls das der Fall ist, stell mal einen Screenshot von der Ergebnisseite ein.

 

[hoermann]

So habe beide Bereiche absuchen lassen aber es wird nur 1 Header gefunden.

Gruß hoermann

 

[Simpson474]

Da war mindestens ein Fehler in meiner Rechnung. Daher das ganze noch einmal, Änderungen in rot.

Die TrueCrypt-Volume Größe in LBA umgerechnet:

976.601.481.216 / 512 = 1.907.424.768 LBA

Ein TrueCrypt-Header-Gruppe (Normal und Hidden Volume Header) hat 128KB. Die Volume Size ist wenn ich mich nicht Irre ohne den TrueCrypt-Header, daher:

131.072 / 512 = 256 LBA
1.907.424.768 + 256 = 1.907.425.024 LBA

Als Größe nehme ich einfach mal die Daten aus dem RandomBlockLocator (Block: 6701375 LBA - 937426626 LBA) - diese kann jedoch zu groß sein. In diesem Fall könnte es passieren, dass du auf der 2 TB HDD nicht mehr alle Daten lesen kannst, die jetzt vor dem zweiten Kopiervorgang lesbar sind. Leider kannst du keine Partition auf der 2 TB HDD erstellen um die Daten zunächst mal zu kopieren, da dies den TrueCrypt Header wieder überschreiben würde. Hier war der eigentliche Fehler: der TrueCrypt-Header liegt nicht bei 937.426.626 LBA, sondern bei 937.426.367 LBA

[COLOR="Red"]937.426.367[/COLOR] - 6.701.375 = [COLOR="Red"]930.724.992 LBA[/COLOR]

Da beim ersten Kopiervorgang der Header nicht bei LBA 0 sondern wie befürchtet bei LBA 1 gelandet ist, muss dieser Offset auch noch drauf. Das sollte folgenden Startoffset auf der 2 TB HDD ergeben:

(1.907.425.024 + 1) - [COLOR="Red"]930.724.992[/COLOR] = [COLOR="Red"]976.700.033 LBA[/COLOR]

Da bei 937.426.367 LBA der Anfang der TrueCrypt-Header-Gruppe liegt, muss die Länge dieser noch zur Anzahl der kopierenden Daten hinzugefügt werden.

930.724.992 + 256 = 930.725.248 LBA

Der Aufruf von dd sollte also wie folgt aussehen:

sudo dd if=/dev/sda of=/dev/sdb bs=512 skip=6701375 seek=[COLOR="Red"]976700033[/COLOR] count=[COLOR="Red"]930725248[/COLOR]

Du musst eigentlich nur den zweiten Kopiervorgang wiederholen, anschließend kannst du in Windows wieder diese beiden Bereich mit TestCrypt scannen lassen.

 

[hoermann]

Alles klar werde ich über Nacht wieder laufen lassen und morgen berichten.

Ergänzung (8. Mai 2011)

So die zu Beginn geglaubte "Mission Impossible" ist sowas von possible :-). Nach dem erneuten Kopiervorgang sind zwei Header zu finden mit Deinem genialen Tool TestCrypt. Mounte ich den zweiten Header als Backup Header erscheint mein Container und jetzt sind wirklich alle Daten abrufbar. Riesiges Dankeschön nochmal für Deine Hilfe und ich möchte mich gerne erkenntlich zeigen und Dein Projekt wenigstens etwas unterstützen. Du kannst mir per PN gern Deine Paypal Email Adresse senden.


Tausend Dank an Simpson 474

Gruß hoermann

 

[Olivier Castro]

Hallo Simpson474,

ich hoffe du kannst nochmal deine Truecrypt-Container-Rettung starten. Das wäre echt super, ich habe es nämlich scheinbar auch fertig gebracht einen Container auf einer meiner Partitionen zu löschen .

Allerdings finde ich mit deinem Tool Testcrypt 0.5.0 gar nichts. Ich habe allerdings überall "automatic" eingestellt, könnte es daran liegen?

Wäre nett wenn du als alter, erfahrener Truecrypt-Sani nochmal aushelfen könntest!

 

[Simpson474]

Leider ist es mit Containerdateien nicht so einfach und je nach Größe des Containers bezogen auf die HDD-Größe und Fragmentierung des Containers sogar unmöglich. Wie groß war die HDD und wie groß der Container? Wurde mindestens TrueCrypt 6 zum Verschlüsseln verwendet? Liegen auf der HDD noch viele andere, unverschlüsselte Dateien?

 

[Olivier Castro]

Das klingt ja nicht gut !

Die betroffene Festplatte besteht aus 2 Partitionen. Die Systempartition C: hat ca. 100GB, die andere auf der der Container war hat 833GB (insgesamt 1TB Speicherkapazität), der Container müsste an die 500GB gehabt haben. Ganz genau weiss ich es nicht mehr.
Es liegen leider noch eine Vielzahl unverschlüsselter Dateien auf dieser Partition. (Insgesamt ca. 30GB.)
Ich fürchte schon, dass das denkbar ungünstige Bedingungen sind!


Es wurde mindestens Truecrypt 6 zum Verschlüsseln verwendet.

Ich hoffe der Patient ist noch zu retten!

Gruß und vielen Dank!

 

[Simpson474]

Lass mal den RandomBlockLocator aus diesem Thread über die HDD laufen (wird ein paar Stunden dauern) und lade dann den Inhalt der erstellten Datei hoch. Du solltest aber auf keinen Fall weitere Dateien auf die betroffene Partition kopieren bzw. vorhandene Dateien ändern.