truecrypt container wiederherstellen

[MortiferX]

Okay, dann werde ich mal Linux Mint starten.

Noch eine Frage: Ist es egal, ob die Zielfestplatte ne Clustergröße von 4096 Bytes hat, denn die Quellfestplatte hat eine Clustergröße von 512 Byte?
Zudem: Ist es egal, dass die Zielfestplatte 3 TB und die Quellplatte 1,5 TB hat?

Ergänzung (20. Februar 2015)

Würde ich jetzt den Devicenamen des Truecrypt Volume nur finden.

Ergänzung (20. Februar 2015)

Irgendwie zerstört dd nun das ntfs-Dateisystem der Zielfestplatte immer, wenn ich für das TrueCrypt Volume als Gerätebezeichnung "/dev/sdb" oder "/dev/dm-0" verwende.
Irgendwie bin ich in Linux noch nicht so gut. xD

 

[Simpson474]

Die Festplatte darf auch größer sein, die unterschiedliche Sektorengröße wird jedoch Probleme machen. Ansonsten sollte das Kopieren mit "dd" mit folgendem Befehl funktionieren:

sudo dd if=/dev/mapper/truecrypt1 of=/dev/sdX

Das "/dev/sdX" muss durch den entsprechenden Gerätenamen der Zielfestplatte ersetzt werden und das TrueCrypt Volume muss in TrueCrypt auf Slot 1 gemountet werden.

Edit: Windows braucht eine Partition auf der Festplatte, damit das NTFS Dateisystem korrekt erkannt wird. Daher sollte auf der Zielfestplatte zunächst eine Partition mit mindestens der Größe des TrueCrypt-Containers erstellt werden und anschließend der folgende Befehl unter Linux verwendet werden:

sudo dd if=/dev/mapper/truecrypt1 of=/dev/sdX1

 

[MortiferX]

Danke für die Anleitung.

Habe mich nun schon selber in dd eingelesen, meine externe Festplatte (Zielfestplatte) damit halb geschrottet und mit gparted/TestDisk wiederhergestellt und letztendlich mit folgenden Befehl Erfolg gehabt:

sudo dd if=/dev/dm-0 of=/dev/sdc1 bs=4096 conv=noerror,sync

bs=4096 verwendete ich daher, da es mit 512 drei mal solange mit dem Kopieren gebraucht hätte (nur 17MB/s).

Zuvor habe ich auf dem Ziellaufwerk auch eine NTFS-Partition erstellt.

Nun nach ca. 9 Stunden Kopiervorgang sind die Daten auf der externen Festplatte.

Unter Windows wird diese leider nicht erkannt [edit: also sie wird zwar erkannt mit LW-Buchtaben, aber das Dateisystem wird nicht erkannt, obwohl iches ja als NTFS zuvor formatierte], weshalb ich TestCrypt wohl unter Linux zu laufen bringen muss oder die Partitionstabelle für Windows modifizieren muss. Letzteres ist für mich wohl schwieriger als unter Linux mit Wine zu arbeiten.

Daher wäre Hilfe sehr schön.

EDIT: Es könnte sein, dass ich mit gparted nun eine andere Partitionstabelle auf die externe Platte geschrieben habe, da ich die originale ja mit dd zerstört hatte. Wählte mit gparted "GPT" als Partitionstabelle. Könnte eventuell daran liegen, dass Windows damit nicht klarkommt?

Ergänzung (21. Februar 2015)

Wechselte wieder zu Linux. Auf dem Bild im Anhang sieht man, dass es definitiv auch jetzt noch NTFS ist.

Könnte der nicht zugeteilte Speicherplatz in der Partition das Problem sein?

EDIT: Naja, ich probier mal, mit gparted diesen nicht zugeordneten Bereich einfach raus zu nehmen, weil ich eben auch etwas unter Zeitdruck stehe, wie man mir wohl an meiner etwas zu ungeduldigen Schreibart hier merken sollte. Mal gucken, was Windows dann dazu meint. Falls es schief geht, kann ich ja wieder von vorne anfangen oder so, also über Nacht, wenn ich schlafe, nochmal neu kopieren.

EDIT2: Windows erkennt trotz Fehlerbehebung das Dateisystem nicht.

 

[Simpson474]

Die Festplatte darf auch größer sein, die unterschiedliche Sektorengröße wird jedoch Probleme machen.

Bist du immer noch auf der HDD mit 4 KB Sektoren? Wenn ja, dann wird es unter Windows nicht funktionieren.

 

[MortiferX]

Problem mit Testdisk entdeckt. Sektorgröße passt nicht. Siehe Anhang!

Was nun?

EDIT: Ja, damit wollte ich ja die Dateien entschlüsselt haben, damit ich mit TestCrypt scannen kann.

EDIT2: Dann bleibt mir jetzt nur, dass ich die andere 1,5 TB Platte (hat 512B Sektoren), die ich habe, auf die 3 TB mit den 4KB Sektoren clone. Die 1,5 TB Platte dann formatierte und als Ziellaufwerk für dd nehme. Das dauert alles locker an die 36 Stunden....

Na, dann.. bis in 2 Tagen oder vielleicht 3.

 

[Simpson474]

TestCrypt sollte auch mit der falschen Sektorgröße zurechtkommen. Eine Sicherung des TrueCrypt-Headers bzw. eine Sicherung einer älteren Version des TrueCrypt Containers existiert nicht, oder? Damit wäre der Suchvorgang um einiges einfacher.

 

[MortiferX]

Habe nun alles entschlüsselt auf einer 1,5 TB Platte mit passenden Sektorgröße. In Windows wird die jetzt auch erkannt.

Habe leider keine Kopie/Sicherung des Headers. Der Container wurde nur auf der einen Festplatte neu erstellt, so dass die älteren Sicherungen auf den Backupfestplatten andere Header aufweisen.

Lasse jetzt einfach mal den Randombocklocater durchlaufen. Die modiizierte Version ist zwar mit 22 MB/s etwas langsam, kann aber auch an der älteren Festplate liegen, die nur USB 2.0 hat. Wird also 18 Stunden dauern, bis der durch ist. Aber warten bin ich ja schon gewohnt xD

Ergänzung (27. Februar 2015)

Ergebnisse:

919449009LBA - 947844156LBA (14,54 GB)
919449009LBA-919469009LBA
947824156LBA-947844156LBA
1609037172LBA - 1924189054LBA (161,36 GB)
1609037172LBA-1609057172LBA
1924169054LBA-1924189054LBA

Das ist das selbe Ergebnis, wie auch das letzte mal, als ich auf der verschlüsselten Platte suchte. Ich nehme an, dass ich nun den Bereich mit 161,36 GB scannen sollte, da dies sicher der gesuchte Container ist.

Ergänzung (27. Februar 2015)

Gibt es eine Möglichkeit die Suche irgendwie einzuchränken, denn die ganzen 161 GB zu durchsuchen, würde über 230 Tage dauern. oO

 

[Simpson474]

Eigentlich ist es unmöglich, dass sowohl auf der verschlüsselten als auch auf der entschlüsselten HDD die gleichen Bereiche gefunden wurden. Ich kann mir das nur damit erklären, dass beim Verschlüsseln der HDD die vollständige Formatierung abgebrochen bzw. die Schnellformatierung in TrueCrypt gewählt wurde. War der Container mit AES/RIPEMD-160 (Standardeinstellung von TrueCrypt) verschlüsselt? Wo liegt der erste Sektor (63 oder 2048) der neu angelegten Partition, welche die entschlüsselten Daten enthält (wird z.B. von TestDisk kurz vor der Analyse angezeigt).

 

[MortiferX]

Entschlüsselte Platte:

Volume 1
================================================================================
Type: FixedMedia
Size: 1500299395072 Bytes
Bytes per Sector: 512
Geometry: 182401/255/63

Partition 1
================================================================================
Type: 7 - HPFS/NTFS
Bootable: False
Start Offset: 0/1/1 (32256 Bytes)
End Offset: 182401/3/2 (1500299395072 Bytes)
Hidden Sectors: 63

Verschlüsselung der gesamten Platte war meiner Erinnerung nach entweder AES 256-bit oder AES/RIPEMD-160
Ich führte eine Schnellformatierung durch, da diese Platte damals leer bzw. fabrikneu war und daher eine Vollformatierung nicht notwendig war.
Zudem erstellte ich ein Hidden-Volume (ca. 50 GB Normal / 1450 GB Hidden bzw. ca. 46,6 GiB Normal / 1350,4 GiB Hidden)

EDIT: Ich irrte mich vorhin. Das Ergebnis ist nicht identisch zum vorherigen.
Vorher kam das raus:

1703049120 LBA - 2053375972 LBA - entspricht 167,049 GB

Ergänzung (28. Februar 2015)

Wenn man nun 1703049120LBA - 1609037172LBA rechnet kommt man auf 94011948LBA, was ca. 45 GiB entspricht. Diese Verschiebung um etwa 100 Mio LBA nach hinten kommt wohl daher, da ich ja nur das Hidden-Volume entschlüsselte und das normale Volume wegließ.

Daher sollte der neue Wert nun auch nicht verwundern.

Ergänzung (1. März 2015)

Ich scannte nun gut einen Tag lang den Bereich von 1608837172LBA bis 1609637172LBA und fand sowohl einen intakten Normal Header als auch einen intakten Backup Header; siehe Anhang.

Vielen Dank für die große Hilfe, deinen Programmen und den Tipp mit dd.

 

[Simpson474]

Funktioniert der Zugriff auf das TrueCrypt-Volume mit dem gefundenen Header?

 

[MortiferX]

Jo, das funktionierte wunderbar.

Habe mittelerweile alle Daten in dem Container gesichert und formatiere (vollständig) die Aushilfsplatte nun wieder.

Danke nochmal für deine Hilfe!

PS: Als Rat für alle, die Verschlüsseln, legt immer sofort Backups an. Zudem ganz wichtig, nach einer versehentlichen Löschung einer großen Datei, nichts mehr auf die Platte schreiben und am besten sofort eine bitgenau Kopie (am besten wohl mit dd) von der ganzen Platte machen und nur auf dieser Kopie versuchen, die Datei wiederherzustellen.

Habe durch diese Sache hier nun einiges wieder gelernt und meine Nachlässigkeit in Sachen Backups Ad Acta gelegt. ^^

 

[tillbrd]

Liebe Forumsmitglieder, auf den vorangegangen Seiten habe ich einiges Interessantes gelesen. Nun bin ich auf der Suche nach dem Königsweg, um meinen wichtigen TrueCrypt-File zu retten. Probleme macht dieser wohl, weil ich einen PC-Absturz hatte, während das Archiv geöffnet war. Jetzt lässt sich die TrueCrypt-Datei nicht mehr mounten. Sie sei defekt, so die Fehlermeldung. Windows will beim Start die Platte auch auf Konsistenz prüfen, das habe ich aber bisher abgebügelt, um nichts kaputt zu machen. Welche Vorgehensweise würdet ihr nun empfehlen, um möglichst wieder an die Daten heranzukommen? Sie sind schon wichtig... ein Backup habe dummerweise gleichwohl nicht. Nicht schimpfen deshalb.

 

[Simpson474]

Ein paar zusätzliche Infos wären nicht schlecht: wie groß war der Container, wie groß ist dieser jetzt (meist bleibt nur eine 0 KB Datei übrig) und wie groß ist das Laufwerk, welches den Container enthält. Kann der Container noch eingebunden werden, wenn der integrierte Backup-Header zum Einbinden verwendet wird? Um weitere Beschädigungen zu vermeiden, sollten keinerlei Dateien mehr auf die betroffene HDD geschrieben werden.

 

[tillbrd]

Danke schonmal für die Antwort.

Einige Antworten muss ich später von zu Hause nachtragen; muss noch eine Stunde arbeiten.

Der Container hatte 600 GB, das Laufwerk ist 1 TB groß. Jetzige Größe trage ich nach, ich meine nicht, dass er auf null geschrumpft wäre.

Entschuldige, dass ich so blöd nachfrage, aber: Habe ich Zwangsläufig den Backup-Header, wo ist der, wie komme ich dran? Kann das auch sein, dass ich dummerweise keinen habe?

Die HDD fasse ich nur noch mit Samthandschuhen an...

 

[Simpson474]

TrueCrypt integriert seit der Version 6 einen Backup-Header am Ende des Volumes: dieser kann zum Mounten verwendet werden, indem man entweder das Passwort mindestens 4x hintereinander eintippt bzw. die entsprechende Option beim Mounten in den Einstellungen setzt ("Use backup header embedded in volume if available"). 1 TB vollständig zu durchsuchen ist jetzt kein Ding der Unmöglichkeit (zumindest falls beim Erstellen des Volumes die Standardoptionen in TrueCrypt verwendet wurden), eine kleinere HDD würde die Sache jedoch deutlich beschleunigen.

 

[tillbrd]

Das Container hat nach wie vor seine 600GB. Beim Mounten, also bei der Auswahl des TrueCrypt-Files, gibt er die Fehlermeldung aus: "Die Datei oder das Verzeichnis ist beschädigt und nicht lesbar."

Wie setze ich jetzt die Einstellung so, dass ich an den möglicherweise vorhandenen Backup-Header komme?

"Select File" zur Auswahl des Containers ist ja der falsche Weg, weil ich so nur die oben zitierte Fehlermeldung bekommen...

Ergänzung (5. Juli 2015)

Ich habe jetzt nicht die einzelne Datei angesteuert, sondern das Verzeichnis, so konnte ich das von dir empfohlene unter den Optionen einstellen. Jetzt kommt folgende Warnung:

"WARNING: The host file/device is already in use!

Ignoring this can cause undesired results including system instability. All applications that might be using the host file/device (for exemplare antivirus or backup applications) should be closed before mounting the volume.

Continue mounting?"

Habe ich alles richtig gemacht? Soll ich weitermachen?

 

[Simpson474]

Kommt die Fehlermeldung "Die Datei oder das Verzeichnis ist beschädigt und nicht lesbar." wirklich beim Mounten des TrueCrypt Volumes oder beim Zugriffsversuch auf die verschlüsselten Daten? Erscheint der gemountete TrueCrypt-Container noch im Arbeitsplatz?

 

[tillbrd]

Auf der Festplatte wird die TrueCrypt-Datei angezeigt, ganz normal, mit voller Größe. Die Fehlermeldung "Die Datei oder das Verzeichnis ist beschädigt und nicht lesbar" kommt, wenn ich auf "Select File" gehe und dann den TrueCrypt-Container mit Doppelklick anwähle... Kopieren der Datei auf ein anderes Laufwerk geht auch nicht.

 

[Simpson474]

OK, dann blockiert Windows bereits beim Zugriff auf die Datei. Versuch mal, ob du mit TestDisk ("Advanced - Filesystem Utils" -> "

• ") den Container kopieren kannst: pass jedoch auf, dass du nicht auf die betroffene Festplatte kopierst, die Zielauswahl in TestDisk ist leider nicht ganz selbsterklärend. Ansonsten könntest du auch noch einen Zugriff unter Linux probieren, allerdings wird dort automatisch eine Art "chkdsk" ausgeführt, wenn Fehler im Dateisystem erkannt werden.

 

[tillbrd]

Mit Testdisk ist es mir lediglich gelungen, ein paar leere Ordner zu kopieren. Im Root-Verzeichnis der betroffenen HDD wird der betreffende TrueCrypt-File nicht angezeigt, allerdings hat auch Dateien in einem nicht-verschlüsselten Unterordner nicht mitkopiert. Vielleicht eine Einstellungssache... Ich versuche jetzt erstmal, die komplette HDD zu duplizieren um an der Kopie weiterzuarbeiten.

Ergänzung (5. Juli 2015)

Also, er zeigt bei Testdisk nur Verzeichnisse an, aber nicht, was drin liegt... Fehler?