Truecrypt laufwerk gemountet - Kein Zugriff

[DjNDB]

Wenn du das sicher wüsstest, könnte das hilfreich sein. Wenn die verschlüsselte Partition vorher 100MB später angefangen haben sollte, dann könnte das wiederherstellen der exakt selben Partitionen dazu führen, dass das Dateisystem wiedergefunden wird.

Allerdings ist fraglich wie plausibel es ist, dass die 100MB Partition auf einmal nicht mehr da ist. Es wäre denkbar, dass Windows bei der Neuinstallation die alte Bootpartition auf dem vermeintlich ungenutzten Laufwerk erkannt hat, und stattdessen eine Partition erstellt hat, die das ganze Laufwerk umfasst. Das ist allerdings höchst spekulativ.
Ich bin mir auch gerade nicht 100% sicher, inwieweit Truecrypt die Partition noch mounten würde, wenn das der Fall wäre. Es kann gut sein, dass Truecrypt nur die Konsistenz des mit dem eingegebenen Passwort entschlüsselten Headers überprüft und den Schlüssel dann stumpf in den Algorithmen anwendet, ohne sich um das Ergebnis zu kümmern.

 

[Simpson474]

Es kann gut sein, dass Truecrypt nur die Konsistenz des mit dem eingegebenen Passwort entschlüsselten Headers überprüft und den Schlüssel dann stumpf in den Algorithmen anwendet, ohne sich um das Ergebnis zu kümmern.

Genau so ist es - obwohl Informationen wie z.B. die Größe des Volumes im Header gespeichert sind, so wird einfach stumpf die Verschlüsselung ohne weitere Plausibilitätschecks angewendet.

 

[DjNDB]

Genau so ist es - obwohl Informationen wie z.B. die Größe des Volumes im Header gespeichert sind, so wird einfach stumpf die Verschlüsselung ohne weitere Plausibilitätschecks angewendet.

Demnach sollte man an dem Header erkennen können, ob die vorhandene Partitionsgröße mit der ursprünglichen Größe übereinstimmt. Fragt sich nur wie man am besten an die Information ran kommt, da sie mit verschlüsselt ist.

 

[Simpson474]

TrueCrypt sollte die Information anzeigen, allerdings ist das normal nicht nötig. Wenn man mit TestCrypt am Ende der HDD sucht, so findet man im Normalfall den integrierten Backup-Header - über diesen lässt sich der Start der Partition rekonstruieren.

 

[Chris2990]

Ich bin mir ziemlich sicher, dass der Bootloader (Sprich die 100MB) vorher auf der Platte waren. Denn bevor ich das System neu aufgesetzt habe, wollte ich nocheimal das alte Windows starten aber hatte die 2 TB Platte dabei abgeklemmt und Windows konnte keinen Bootloader finden. Hab mich schon ziemlich gewundert, wieso der bootmanager nicht auf der SSD war, aber die Sache dann irgendwie für unwichtige erfunden und ignoriert. Ich schliesse nicht aus, dass ich die 100 MB dann auch einfach gelöscht habe, weil sie anscheindend ja nicht mehr gebraucht wurden.


Gibt es nicht eine Möglichkeit, einfach eine 100 MB große Partition zu erstellen? Normalerweise müssten die 100 MB ja als nicht partitioniert in der Datenträgerverwaltung erscheinen, ich meine, die sind ja nicht weg.

Hier mal ein Screenshot von dem TestCrypt Endergebnis.

 

[Simpson474]

Keiner deiner 4 Header stimmt irgendwie überein, von daher Beginn einfach mal bei dem zweiten Header und lass diesen in TestCrypt einbinden. Wenn du nicht auf deine Daten zugreifen kannst, dann versuch den nächsten Header - zuvor solltest du jedoch alle in TestCrypt eingebundenen Laufwerke wieder entfernen. Wenn du bei keinem Header auf deine Daten zugreifen kannst, so musst du mit Datenrettungsprogrammen (am besten GetDataBack) experimentieren - immer einen der Header einbinden und anschließend das Programm über das eingebundene Laufwerk (bei GetDataBack muss dazu die Box mit den logischen Laufwerken aufgeklappt werden) laufen lassen.

 

[Chris2990]

Ganz ehrlich? Ihr seid echt die besten

Den zweiten Header eingebunden und da sind meine ganzen Daten.
Jetzt erstmal den Ordner sichern! =D

Wenn du mir jetzt noch sagst, wie ichs wiederherstelle, dass es ganz normal mitm Truecrypt klappt, hast du mir mein Wochenende noch mehr als eh schon gerettet!

 

[Simpson474]

Ich schreib dir morgen noch eine Anleitung, wie man mit TestDisk die Partition neu anlegen kann.

 

[Chris2990]

Ich danke dir herzlichst!

 

[Simpson474]

Starte zunächst testdisk-6.12 und wähle [Create], wähle die entsprechende HDD aus und drücke Enter. Dann wählst du [Intel], [Analyse], [Quick Search] (diesen abbrechen, falls er länger dauert) und drückst anschließend die A-Taste. Es kommt ein Auswahlbildschirm, bei welchem du zwei mal [Cylinder] [Head] [Sector] und einmal [Type] angeben musst. Dort fügst du die folgenden Werte ein
[Cylinder] 12
[Head] 223
[Sector] 20

[Cylinder] 243201
[Head] 13
[Sector] 12

[Type] 07 NTFS oder 12 Compaq Diagnostics

[Done]

Bei Compaq Diagnostics ist es deutlich schwieriger, die Partition aus versehen zu entfernen oder zu formatieren - die Windows-Datenträgerverwaltung erlaubt keinerlei solche Aktionen.

Anschließend machst du noch einen Screenshot, bevor du das Übersichtsfenster mit Enter bestätigst.

 

[Chris2990]

Moin,

ok, hab ich soweit alles eingeben, nur noch 2 Fragen dazu:
1.Soll das Volumen in TC gemountet sein oder nicht?
2. Am Anfang hab ich die Wahl zwischen "Disk" und "Drive" da muss ich schon "Drive" nehmen,oder?

 

[Simpson474]

Das Volume sollte nicht eingebunden sein, da ansonsten der Schreibzugriff auf die HDD möglicherweise blockiert wird. Wenn das Volume nicht eingebunden ist, so sollte deine HDD auch nur einmal in der Auswahl von TestDisk erscheinen. Bist du dir sicher, dass du zu Beginn die Option [Intel] gewählt hast?

 

[Chris2990]

Ja, bin mir sicher.
Hab nochmal nen neuen Screenshot gemacht, diesesmal hab ich Drive statt Disk genommen.

 

[Simpson474]

Das Ende der Partition passt nicht, wahrscheinlich lässt testdisk die Eingabe mal wieder nicht zu. Versuch mal testdisk-6.12 (in neueren Versionen fehlt die Option) und wähl nach [Intel] [Options] und stell dort "Allow partial last cylinder" auf "Yes".

 

[Chris2990]

Alles klar, dass ganze sieht dann jetzt so aus:

 

[Simpson474]

Jetzt noch mit der Pfeil nach links bzw. rechts Taste das >L am Anfang der Zeile zu einem >P oder >* bekommen und dann mit Enter bestätigen. Anschließend [Write] wählen und Windows neu starten.

 

[Chris2990]

Ja Super, alles so wie früher!

Ich danke dir wirklich vielmals!
Alles läuft wieder und ich hab auch noch einiges gelernt dabei

Danke Danke!

 

[user__1]

----Verschoben nach---->

https://www.computerbase.de/forum/threads/truecrypt-partition-geloescht.1140732/page-3#post-14249705

 

[Stich Säge]

Hallo Chris

hatte Dein Problem gerade gelesen. Das exakt gleiche Problem hatte ich gerade jetzt und die ganzen "Datenrettungstools" versagen hier i.d.R.

Der erste Sektor der $MFT ist sehr wahrscheinlich beschädigt, da die Platte beim ersten Bootvorgang nach Neuinstallation des OS vermutlich in der Bootschleife Deines Rechners war. Du kannst die Daten wiederherstellen, indem Du Dir die Software X-Ways Forensic besorgst und die Platte über die Truecrypt Software mountest, danach X-Ways ausführen und das Volume dann öffnest.

Hierbei ist darauf zu achten, dass Du den richtigen Laufwerkbuchstaben auswählst. X-Ways kann Dir exakt sagen, ob das Volume beschädigt wurde. Danach über "Extras -> Disk-Tools -> Daten retten nach Typ" laufen lassen und Dateien danach wiederherstellen lassen.

Wenn das Volume in Ordnung wäre, dann würde Truecrypt es auch auslesen können. Die Beschädigung liegt nicht im Header des Volumens (das kann man auch wieder reparieren), sondern in der Beschädigung des Filesystems.

X-Ways ist eine kleine Investition. Wenn die Daten jedoch wichtig sind, dann ist es das wert.

Viel Glück