Truecrypt Externe Festplatte

[der2878]

Sry, erstmal hier noch die Header. Brauchst du das PW auch?

Ja, ich habe an der Partitionierung rumgemacht. Denn zum Zeitpunkt des Crashes zeigte mir Windows überhaupt keine Partitionierung an (schwarz, nicht zugeordnet). Ich habe damals einfach eine Partition mit der maximalen Größe auf beiden badFestplattenerstellt (natrülich unformatiert).

Was mir auffällt. Truecrypt schlägt das im Volume integriete Header Backup vor. (Dieses ist immer ganz am Ende der Truecrypt Partition) Das heißt ja, dass meine neu erstellte Partition auf der Festplatte zumindest das gleiche Ende hat, da Truecrypt den HeaderBackup sonst nicht finden würde. Jedoch nicht den gleichen Anfangspunkt/die gleiche Größe hat, da die Daten ja sonst entschlüsselt hätten werden müssen und GetDataBack zumindest einen Rest an Daten oder zumindest irgendwelche Hinweise auf ein Dateisystem hätte finden müssen.

Ich habe bisher nichts an den Festplatten geändert (bis auf die oben beschriebenen Partitionierung). Da ich nicht so ganz verstanden habe, wie diese HPA's funktionieren usw...
Ich habe keine Linux CD's gebootet, aber ich habe Intern 3 Platten (1 WIndows, 1 Linux, und die gute 1TB)...
Da meine Windows Platte nicht mehr Bootfähig war (Classpnp.sys konnte nicht mehr geladen werde, zumindest kan da immer ein BSOD), habe ihc Linux gebootet, mit Truecrypt alle Platten eingebunden (also auch die 2 externen, die jetzt kaputt sind). Habe dann die Daten von meiner WIndowsPlatte auf die Bad2 Platte kopiert (die da ja noch nicht Bad war, die natürlich entschlüsselt war, also mit Truecrypt eingebunden) und noch meinen Steam games ordner auf die Gut Platte kopiert (die ja jetzt immer noch gut ist, diese war auch mit Truecrypt unter Linux eingebunden).
Was ich nicht gemacht habe, ist dass ich die Platten danach ausgebunden, oder sicher entfernt hätte. Ich habe Linux einfach heruntergefahren.
Den Rest des Vorgangs hatte ich ja schon in Post 1 beschrieben:

ich musste heute mein Windows 7 neu installieren.
Dies hatte auch wunderbar funktioniert und danach war noch alles normal. Auch meine Truecrypt Partitionen waren noch vorhanden.
Da diese jedoch auch von Windows eine Laufwerkbuchstaben zugewiesen bekommen, der ja sinnlos sit, da WIndows eh nicht auf die laufwerke zugreifen kann, wollte ich diesen entfernen.
So hatte ich es eigentlich immer gemacht. Und zwar habe ich eifnach in der Datenträgerverwaltung die Laufwerkbuchstaben entfernt.
Leider hat Windows es irgendwie geschafft, dabei auch noch die Partitionen und nicht nur die Laufwerksbuchstaben zu entfernen.

Die bad1 Platte wurde bereits unter XP verwendet. Damals war sie auch bereits mit Truecrypt verschlüsselt. Jedoch hat mir Windows diese Platte schonmal geschrottet (siehe meinen anderen Thread im Forum). Damals hatte ich dann einfach nochmal auf einem alten WinXP PC die Platte neu Partitioniert (also eine große Partition erstellt, die nciht formatiert war) und konnte dann, nahc dem einbindne durch Truecrypt alle Daten mit GetDataBack auf eine andere Platte kopieren.
Danach hatte ich alle Partitionen auf der Bad1 Platte gelöscht und diese unter Windows 7 neu partitioniert. Bei dieser Platte bin ich mir 100% sicher, dass diese neupartitionierung unter Windows 7 geschah. Jedoch wundert es mich, warum die Platte dann erst am Sektor 319 und nicht am Sektor 62 startet (da müssten ja noch reste der Partition, die damlas unter XP erstellt worden war sein)...

Die bad2 Platte habe ich am 2. März 2009 erworben. Ich kann dir nicht sagen, ob zu diesem Termin bereits die Windows 7 Beta auf meinem Computer installiert war. Auf jeden Fall habe ich sie in nächster Zeit auf dem Computer installiert gehabt...
Es ist bei dieser Platte also möglich (und da die Platte am Sektor 62 startet auch wahrscheinlich), dass ich sie damals noch unter WinXP formatiert habe (obwohl mir das eher komisch vorkommt, aber so genau habe ich mir das damals nicht gemerkt).
Falls ich sie wirklich unter XP formatiet haben sollte, habe ich sie jedoch 100% danach nocheinmal mit WIN7 neu formatiert (jedoch cniht 100% neu partitioniert, gehe aber eher davon aus, dass ich sie auch direkt neu partitioniert (also partition gelöscht, und neue Partition drauf) habe).
Unter XP hatte ich damals eine Serpent Verschlüsselung gewählt, die mir später jedoch einfach zu langsam war und ich somit die Platte dann unter AES Verschlüsselung neu formatierte (wie schon gesagt, möglicherweise habe ich sich auch neu partitioniert, aber nicht 100% sicher). Dies ist auf jeden Fall unter Win7 geschehen, da ich diese neuformatierung/partitionierung nicht vor Mai2009 vorgenommen habe, und mindestens seit April auf Win7 setzte.

WICHTIGER EDIT:
Die Bad2 Platte ist 100% unter WIn7 partitioniert worden. Denn ich habe die Platte einmal umgetauscht, da es Probleme mit dem E-SATA Controller meines Mainboards gab, und ich davon ausging, dass der Controller der Platte kaputt wäre. D.h. ich habe die Platte ca. im Januar erhalten, und dann in Windows 7 partitioniert.
Nur wie dann die Daten ab Sektor 62 zustande kommen ist mir vollkommen unklar.
Vlt haben sie mir ja keine neue Platte zugeschickt...




Mir ist grade noch etwas aufgefallen. Da es mich gewundert hat, warum denn bei Sektor 62 nichts steht (beid er Bad1 Platte) obwohl die damals unter XP einmal partitioniert wurde, habe ich grade mir mal den Sektor 62 nochmal angeschaut. Und wer hätte es gedacht, im Sektor 62 steht etwas.
Und zwar steht im Sektor 62 genau das gleiche wie im Sektor 62 der Bad2 Platte. Jedoch kommt bei er Bad1 Platte bis zu de von mir angegebenen Sektor dann nichts mehr, bei der Bad2 Platte geht es aber danach dann weiter bis zum Ende.
Weiterhin steht in diesem Sektor 62 jeweils eine Bezwichnung der Platte:

WD My Book 1028

Diese lautet bei beiden Platten gleich. Nur wo sind dann die Einträge zwischen Sektor 62 und Sektor 319 hin? ist es möglich, dass Windows 7 diese bei einer neupartitionierung gelöscht hat?

Deine nächste Frage habe ich jetzt nicht so gnaz verstanden. Ich versuche sie trotzdem mal so zu beantworten, wie ich denke, was du meinst:

Bad 1: Anzahl Sektoren 1953525168
Bad 2: Anzahl Sektoren 1953525168
Gut: Anzahl Sektoren 1953525168

Diese Sektoren sind natürlich leer. also 00 usw...

Hab die Files jetzt einzeln gezippt und hinzugefügt.

PS:
Dein errechneter MBRend stimmt laut GetDataBack.
die Partitionen reichen von 2048 bis 1953521663

PS²:
Noch eine Anmerkung zu der analysierten PartitionTable von der Platte Bad1:
Und zwar hatte ich gestern versucht, eine andere PartitionTable einzuspielen (der einzige unterschied dieser beiden Tables war: Statt Typ 6 (FAT, der ja auf jeden Fall falsch ist), Typ7 (NTFS) und statt der Größe 1953519616, 1953513472.
Jedoch hat mir sfdisk (utner Linux) das ganze damit quittiert, das sectors keine gültige EInheit wäre und ich habs dann gelassen. Anscheinend hat er jedoch etwas an der Partitionstabelle geändert.
Denn die Tabelle sah vorher so aus:

/dev/sdb1 : start= 2048, size=1953519616, Id= 6

Dein Tool hat aber ID7 ausgelesen... Nur das wundernswerte daran ist, nachdem mir sfdisk den Vorgang mit der oben genannten Fehlermeldung quittiert hatte, habe ich nochmal nach geprüft, ob die Partitonstabelle denn nun geändert worden wäre. Und da stand immer noch die ID6 (also FAT) drin... (GetDataBack sagt momentan auch noch FAT (also müsste momentan auch noch ID6 drin stehen...))
Ich habe jetzt nochmal nachgeschaut, ob vlt MBRbad und MBRgut vertauscht worden sind, aber so wie ich das sehe sind sie das nicht... Ich verstehe also nicht ganz, wie dein Tool auf NTFS kommt.
Oder hat es da vlt einen Rest der korrekten Partitionstable (alos bevor die Festplatte gecrasht war) analysiert? Weil damals hat ja noch NTFS dringestanden...

 

[Ernst@at]

Erstmal Fragen beantworten, die Anhänge sehe ich mir später durch

"Brauchst du das PW auch?"- Nein

Du hast nach dem Crash auf beiden Platten eine Partition erstellt - mehrmals(entfernen, neuanlegen) oder nur ein einziges Mal? Wenn auch entfernt, war das unter Windows?

"Ich habe keine Linux CD's gebootet, aber ich habe Intern 3 Platten (1 WIndows, 1 Linux, und die gute 1TB)...": Aber vielleicht das Linux von der Platte?

"Dein Tool hat aber ID7 ausgelesen... " - Nur bei der gut-Platte (ich hab die Überschrift reinzustellen vergessen und jetzt nachgeholt, die steht immer drüber)

zur Frage HPA oder nicht
Bad 1: Anzahl Sektoren 1953525168
Bad 2: Anzahl Sektoren 1953525168
Gut: Anzahl Sektoren 1953525168
Jetzt sieht es nicht mehr danach aus, als ob da eine draufwäre - die Platten haben volle Sektoranzahl zur Verfügung.
Nach den Schilderungen der GetDataBack-Versuche in mehreren Vorposts sah das aber ganz danach aus. Dass die von irgendwas angelegt werden und damit einen Zugriff auf die letzten paar tausend Sektoren verhindern(in welche das Partitionende hineinreicht) ist durchaus möglich; ein Start eines Linux löst diese HPAs aber wieder auf. So könnten die einmal da sein und einmal wieder weg.

 

[Simpson474]

Kannst du das Volume immer noch erfolgreich mit dem integrierten Backup-Header mounten, wenn du das Passwort mehr als 3x eintippst? Wenn ja, dann hast du wirklich die richtige Endadresse der Partition. Außerdem hast du ja die Größe des Volumes in Byte aus dem Backup-Header. Damit sollte man die richtigen Einträge für den MBR rekonstruieren können.

 

[der2878]

@ Ernst@at:
Klar, das Linux vond er Platte hab ich antürlich gebootet um die Daten von der Windows Partition auf die Externe Festplatte zu sichern (bevor diese kaputt war).
Ich habe die Platten schon so ein paar mal neu partitioniert, jedes mal unter Windows. Ich habe da einfach unterscheidliche größen gewählt. Also beim ersten mal max, dann max-1MB und dann noch einmal max-2MB... Da das alles ncith funktioniert hatte, habe ich dann die Partition gelöscht, und einfach nocheinmal eine Max erstellt (mit der ich ja jetzt anscheinend den richtigen Endpunkt getroffen habe).

Ich war zwischendrin jedoch auch noch öfter in Linux, um mir mit sfdisk mal die Partitionstabelle ausgeben zu lassen, hab aber an den Platten an sich nichts verändert (bis auf den fehlgeschlagenen oben genannten Versuch, der aber ncihts verändert hat)

@Simpson474:
Ich habe den Header schon wiederhergestellt (aus der integrierten Sicherung). Also falls ich jetzt das Passwort eingebe, mountet er die partition. Aber ich hätte es ja auch nicht aus dem integrierten header restoren können, wenn es nicht die richtige Endadresse gewesen wäre...

Ich hatte vorher schonmal den Header aus meinem externen backup wieerhergestellt. Dabei dürfte Truecrypt aber nur den Header am Anfang des Volumes überschreiben, und sollte kaum eine neue Headersicherung erstellen. Denn falls Truecrypt damals noch eine neue Headersicherung erstellt haben sollte, dann haben wir jetzt entweder wirklich die korrekte Endadresse, oder nur die korrekte Endadresse der Partition, auf die der externe Header wiederhergestellt wurde... Es erscheint mir aber eher unwahrscheinlich, dass Truecrypt auch das integrierte Header Backup überschreibt, wenn man ein externes HeaderBackup einspielt.

Nur bin ich mir bei der Umrechnung der ganzen Größen nicht so 100% sicher. Es wäre daher also super, wenn mir jemand aus der Byte größe und der korrekten Endadresse dann die start Sektoren und größe und was ich alles noch brauche berechnen könnte...
Und um mich nochmal zu versichern. DIe Byte Größe, die mir Truecrypt aus dem header auslesen kann, zu dieser Muss ich noch 512 Byte für den Header an sich hinzufügen, oder 2x512, da ja auch noch ein Headerbackup am ende des Volumes ist...

 

[Simpson474]

Wie hast du die Größe des Backup-Headers ausgelesen? Ich finde dazu keine Option in TrueCrypt - auch die TrueCrypt-Dokumentation sagt nichts über das "Size of volume"-Feld im Header aus.

EDIT: In meinem Test musste ich 262144 Byte zur ausgelesenen Größe der "TrueCrypt Volume Properties" hinzufügen, damit ich die ursprüngliche Partitionsgröße bekomme. Das passt auch zur TrueCrypt-Dokumentation (Headergröße 2x128KB).

 

[Ernst@at]

Ich hab Deine Angaben vom letzten Post umgerechnet - das ergibt aber um 511 Sektoren(!) weniger als die Partition unter 2048-Sektor-Größen-Sprüngen hat. [Schulterzuck]
Mal sehen, was die rausgelesenen Bereiche vor und hinter der Partition sprechen- da bin ich noch nicht durch.

Nachtrag: Ach ja, jeder Header ist 128KiB groß und belegt somit 256 Sektoren; einmal vorne und einmal hinten minus der von dir gedachten 512 Bytes macht genau die 511 fehlenden Sektoren - da würde die Rechnung dann stimmen

Wenn Du mehrmalige Versuche unter Win machst, eine Partition zu löschen und Neu zu definieren, dann löscht der Kerl den ersten Sektor der Partition, damit er triumphierend melden kann "Alle Daten sind verloren" (was aber Unsinn ist). Wenn Du das unter Linux gemacht hast - da hab ich keine Ahnung, ob das da auch passiert.
Wäre nur schrecklich, wenn Du außer der Größe auch den Anfangssektor variiert hättest - weil dann mehr als immer derselbe erste Sektor kaputtgegangen sein könnte

Bei jedem Linux-Start werden alle eventuell auf den Platten liegende HPA's defaultmäßig entfernt

 

[Simpson474]

Irgendwas stimmt da nicht - bei einem TrueCrypt-Volume sollte man keine großen Null-Blöcke sehen. Genau die sehe ich jedoch in bad1.1953520064.5104.bin vor dem Backup-Header. Hier gibt es jetzt theoretisch zwei Möglichkeiten: entweder die komplette Partition wurde mit 0 überschrieben, oder aber der Backup-Header ist an der falschen Stelle. Wie sehen denn die Daten z.B. direkt in der Mitte der Partition aus?

 

[der2878]

Ok, und wie muss ich diese neue Partition dann jetzt erstellen, bzw. von wo bis wo genau?
@Simpson747 du hast ja jetzt glaube ich herausgefunden, wie die Größe ausgelesen werdne kann...

Unter der WIndows Datenträgerverwaltung kann man eigentlihc außer der Größe nichts ändern, insofern dürfte der Anfangssektor nicht verändert worden sein

@Simpson747
In der mitte der partition (also nicht die genaue Mitte, jetzt eifnach mal abgeschätzt, oder brauchst du genau den Mittleren Sektor?) stehen Daten...

 

[Simpson474]

Ok, dann wurde doch nicht alles überschrieben. Allerdings scheint die Position des Backup-Headers nicht zu passen (den hat TrueCrypt dann scheinbar doch von selbst wiederhergestellt beim Einspielen des Backup-Headers). Geh mal die Partition von hinten durch und lade eine Datei hoch (mit Angabe der Sektoren), wo die ersten Daten beginnen.

 

[der2878]

Bei Bad1 sind die letzten Daten im Sektor 1953519808

Ich hab jetzt nur diesen Sektor hochgeladen, oderbrauchst du noch mehr?

 

[Simpson474]

Ein bisschen mehr brauch ich schon - am besten einige Sektoren davor und einige danach.

 

[der2878]

Ok, 50 Sektoren davor und 10 Sektoren danach (noch mehr?)

 

[Simpson474]

Ich hab die Rechnung jetzt 3x durchgeführt und bin 3x auf ein unterschiedliches Ergebnis gekommen - am wahrscheinlichsten sind folgende Ergebnisse:
448-1953520063
449-1953520064

EDIT: Warte mit den Werten noch einmal. Wie groß ist noch einmal die Größe, die du aus dem TrueCrypt-Header ausgelesen hast?

EDIT: Vielleicht ist es auch das normale Windows XP Schema:
63-1953520064

 

[der2878]

Die Truecrypt partitionen sind laut header 1000201978880 Bytes groß. Das ist jetzt genau der Wert, der unter eigenschaften steht. ALso exklusive der größe, die der Header belegt...

Diese Größe ist bei beiden kaputten Platten gleich, die Gute Platte ist jedoch 1000201781248 Bytes groß.

Sind deine WErte für die bad1 Platte? Oder für beide?

Für die bad1 Platte kann das WinXP Schema eig. nciht stimme, sie wurde zwar unter WInXP einmal Partitioniert, später jedoch unter WIn7 neu Partitioniert...

 

[Simpson474]

Meine Rechnung war für die bad1 Platte. Irgendwie würde nach deiner Größenangabe wirklich das Windows XP Schema passen:
1000201978880 Byte + 262144 Byte = 1000202241024 Byte
1000202241024 Byte / 512 Byte = 1953520002 Sektoren
63 (Startsektor) + 1953520002 (Größe in Sektoren) - 1 = 1953520064

Das letzte Sektor mit Daten ist 1953519808 - das sind die ersten 512 Byte des Headers. Anschließend müssen noch 127.5KiB (255 Sektoren) folgen.

 

[der2878]

Naja, wir können ja einfach probieren, so eine Partition zu erstellen... Nur müsste mir noch jemand kurz erklären, mit welchem Programm ich das machen kann, also eine Partition von einem Sektor bis zu einem anderen Sektor zu erstellen.
Falls es nicht funktionieren sollte, ist ja nur ein weiteres mal die Partitionstabelle überschrieben, und insofern kein Problem... Oder irr ich mich da?

Das letzte Sektor mit Daten ist 1953519808 - die sind die ersten 512 Byte des Headers. Anschließend müssen noch 127.5KiB folgen (255 Sektoren).

Du sagst, da müssen noch 255 SEktoren folgen, aber die folgen ja nicht, wie ist das dann zu verstehen?

 

[Simpson474]

Die ersten 512 Byte des Headers enthalten die eigentlichen Daten zum Entschlüsseln. Anschließend folgen 63.5KiB reservierte Daten und anschließend 64KiB Hidden Volume Header. Laut TrueCrypt-Dokumentation sollten die reservierten Daten und der Hidden Volume Header mit Zufallsdaten gefüllt sein - das passt irgendwie nicht zu deinen Nullen. Vielleicht ist das jedoch durch das Wiederherstellen des Headers passiert.

Am einfachsten solltest du die Partitionstabelle mit fdisk unter Linux bearbeiten können - dort kann man auch sektorbasiert die Daten angeben und es wird nur die Partitionstabelle überschrieben.

 

[Ernst@at]

Also die Partition abzuändern ist mit HxD einfach (und ohne delete, was möglicherweise was überschreibt)
für bad1 beim öffnen das Häkchen für read-only wegnehmen
Ändern auf NTFS start:63 size:1953520002

Offset(h) 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F

da steht jetzt

000001B0  65 6D 00 00 00 63 7B 9A 53 3D 8A 9E D8 69 00 20  em...c{šS=ŠžØi. 
000001C0  21 00 06 FE FF FF 00 08 00 00 00 58 70 74 00 00  !..þÿÿ.....Xpt..

und ist abzuändern auf

000001B0  65 6D 00 00 00 63 7B 9A 53 3D 8A 9E D8 69 00 [COLOR="Red"]01[/COLOR]  em...c{šS=ŠžØi. 
000001C0  [COLOR="red"]01[/COLOR] 00 [COLOR="red"]07[/COLOR] FE FF FF [COLOR="red"]3F 00 [/COLOR]00 00 [COLOR="red"]82 59 70 74 [/COLOR]00 00  ...þÿÿ?...‚Ypt..

Dann Menü: File/Save

 

[der2878]

Als Startsektor bietet mir fdisk nur folgendes an: (Wenn ich eine neue Partition erstelle)

Erster Sektor (2048-1953525167, Vorgabe: 2048)

@ernst@at:
Hab deinen Post erst jetzt mitbekommen, werde es dann mal so versuchen, da mir fdisk ja nur die oben genannten optionen anbietet

Ergänzung (16. Mai 2010)

Ok, hab ich jetzt geändert. Konnte die Partition danach auch auf Anhieb mit Truecrypt mounten.
Jedoch kann GetDataBack darauf kein Dateisystem finden, geschweige denn, dass ich mit Windows auf den Datenträger zugreifen könnte... scheint also nicht die richtige größe zu sein...

Immerhin haben wir jetzt als Startsektor einen Sektor, in dem überhaupt nichts drinsteht (und bei dem, bis Sektor 319 auch nichts mehr kommt)...

 

[Simpson474]

Hast du nach dem Ändern auch einen Neustart gemacht? Wurde die Partition auf Anhieb gemountet oder erst nach 3 fehleschlagenen Versuchen?