TrueCrypt: Partition gelöscht - wiederherstellen

[Simpson474]

cih kam noch nicht dazu die Festplatte mit dem HxD zu scannen aber was soll bringen, wenn ich es damit abscanne?

Damit kann man normal erkennen, ob die Daten entschlüsselt wurden oder weiterhin verschlüsselt vorliegen. Erst wenn die Daten entschlüsselt wurden, so machen Datenrettungsprogramme einen Sinn.

hab so eben die Platte mit HxD gescannt und folgendes erhalten: siehe Bild im Anhang.

Für mich sieht das so aus, als ob du die physikalische HDD und nicht das eingebundene Laufwerk geöffnet hast. Dazu HxD als Administrator starten und den von TrueCrypt angezeigten Laufwerksbuchstaben öffnen.

 

[LoechlesWatcher]

Für mich sieht das so aus, als ob du die physikalische HDD und nicht das eingebundene Laufwerk geöffnet hast. Dazu HxD als Administrator starten und den von TrueCrypt angezeigten Laufwerksbuchstaben öffnen.

also ich hab es so gemacht wie du es gesagt hast aber ich sehe keine Laufwerkbuchstabe: siehe Bild

und bei GetDataback: siehe Bild

 

[Zuxxor]

Bei mir Folgendes, nach einigen hoffnungsvollen Posts beschreibe ich hier mal mein Problem:

Habe eine neue externe Festplatte, die 500 GB groß ist, diese wurde mit Truecrypt unter Ubuntu 10.10 mit dem Dateiformat ext3 mit den Standardverschlüsselungsparametern erstellt, also wurde die ganze Platte verschlüsselt. Danach habe ich alle wichtigen Daten unter anderem aus sieben Jahren politischer Arbeit (ich Idiot) dort gespeichert, keinen Backup Volume Header seperat gespeichert und auch kein Backup angefertigt.

Letztens wollte ich auf einen USB-Stick eine Windows 7.iso ziehen, mit dem Programm "Startup Disk Creator" unter Ubuntu aus versehen die externe Festplatte ausgewählt, gemerkt und in Panik das USB-Kabel gezogen. Platte lässt sich nun nicht mehr einbinden, auch die Suche mit Truecrypt nach einem embedded Volume Header schlägt fehl. Nach einem Suchlauf mit Testcrypt mit allen Einstellungen auf automatic spuckt er nach einer Stunde nichts aus.

Bin auch gerne bereit für eine Wiederherstellung zu zahlen, was habe ich noch für Möglichkeiten?

Liebe Grüße
Moritz

EDIT: Die .iso wurde noch nicht auf den Datenträger geschrieben, nur "erased"
EDIT 2: Ansicht unter Disk Utility

EDIT 3: Bei Kauf war die Platte mit ntfs vorformatiert, Truecrypt 7.0a wurde benutzt.

 

[Simpson474]

also ich hab es so gemacht wie du es gesagt hast aber ich sehe keine Laufwerkbuchstabe

Du kannst auch mal dieses Tool probieren, HxD macht scheinbar Probleme bei einigen Rechnern. Auch dieses Tool muss per Rechtsklick "Als Administrator ausführen" gestartet werden. Außerdem darf auch hier kein anderes Programm wie TestDisk oder GetDataBack auf das eingebundene Laufwerk zugreifen. Die Lesefehler von GetDataBack kann ich mir jedoch nicht wirklich erklären.

@Zuxxor: Mit welcher TrueCrypt-Version wurde verschlüsselt? Auch hier wäre zunächst mal eine Analyse per Hex-Editor interessant - am besten auch hier unter Windows mit HxD die physikalische HDD öffnen und von ganz hinten beginnen, nach den ersten TrueCrypt-Daten zu suchen. Die TrueCrypt-Daten erkennt man normalerweise daran, dass diese weder lesbaren Text noch irgendwelche wiederkehrenden Muster enthalten. Außerdem kommt es bei TrueCrypt-Daten sehr selten vor, dass mehrere hintereinanderliegende Bytes den gleichen Wert haben.

 

[Zuxxor]

version 7.0a wurde verwendet. ganz lange werden nur nullen angezeigt, irgendwann beginnt ein gigantischer block scheinbar ohne wiederholungen und wirrem zahlenwust, sieht dann so aus:

 

[LoechlesWatcher]

nun hab ich auch das andere Tool verwendet:
kann nun auch die F:/ Partition auswählen (die defekte HDD) aber auch hier findet es nichts
und wenn ich dann Phy. 1 auswähle kommt das gleiche Ergebnis wie beim HxD.
Ich hoffe du hast noch ein paar Ideen^^

wäre es möglich das ich die neu erstellte Partition wieder entferne und deine fünf Punkte aus dem posts davor nochmal durchgehe? Vielleicht ist mir ein Fehler unterlaufen beim erstellen der Partition (aber das denke ich nicht).

 

[Simpson474]

version 7.0a wurde verwendet. ganz lange werden nur nullen angezeigt, irgendwann beginnt ein gigantischer block scheinbar ohne wiederholungen und wirrem zahlenwust, sieht dann so aus:

Der Block ist allerdings nur 2MB groß und drüber kommen schon wieder Nullen - bei TrueCrypt sollte (zumindest wenn beim Erstellen des Volumes die Formatierung nicht abgebrochen wurde) alles mit scheinbaren Zufallszahlen gefüllt sein. Außerdem liegt der Block mit den Zufallsdaten ca. 28GB vom Ende der HDD entfernt - da wurde scheinbar extrem komisch partitioniert. Du kannst jetzt mal probieren, TestCrypt über diesen Block scannen zu lassen. Dazu beim "Custom Analyzer" bei "Begin Offset" 916521936 und bei "End Offset" 916721946 eingeben - der Scan wird dann allerdings etwas länger dauern, da dann ca. 100MB an Daten geprüft werden.

nun hab ich auch das andere Tool verwendet:
kann nun auch die F:/ Partition auswählen (die defekte HDD) aber auch hier findet es nichts

Wenn da wirklich Nullen stehen, so wäre das schon gar nicht mal so schlecht. Es könnte natürlich auch sein, dass hier wieder Lesefehler wie bei GetDataBack auftreten und dadurch nur Nullen angezeigt werden. Du kannst hier einfach mal ein bisschen nach unten scrollen (ca. bis Offset 0x30 0000, die Nummer ganz links im Programm) und schauen, ob da irgendetwas ungleich 0 kommt.

wäre es möglich das ich die neu erstellte Partition wieder entferne und deine fünf Punkte aus dem posts davor nochmal durchgehe? Vielleicht ist mir ein Fehler unterlaufen beim erstellen der Partition (aber das denke ich nicht).

Du kannst mir auch einfach den Screenshot vom "Partition Analyzer" bei TestCrypt zeigen - dort wird deine erstellte Partition angezeigt und ich kann sehen, ob irgendwas nicht passt.

 

[LoechlesWatcher]

sooooo
also ich hab mal mit dem Tool nochmal am die Sektoren ab 30000 abgescannt. Ergebnis siehst du im Screen.

und ich hab die Festplatte nochmal mit Testdisk angeschaut bzw wollte ein Screen für dich machen und was entdeckt ich da, 3 Partitionen. (siehe screen zwei)
Wie du im Screenshot siehst wird in der Datenträgerverwaltung nur einen große Partition angezeigt aber im Testdisk zeigt er 3 Partitionen an, ich denke mal das es sich hierbei um meine 3 alten Partitionen handelt (C: 100gb, D:200gb, eine von Windows erstellt Partition).
Kann ich unter Testdisk diese Partitionen wiederherstellen? Wenn ja wie geht das?
Und was ist das für ein Programm was bei Testdisk dabei ist > Photorec?

 

[Simpson474]

und ich hab die Festplatte nochmal mit Testdisk angeschaut bzw wollte ein Screen für dich machen und was entdeckt ich da, 3 Partitionen. (siehe screen zwei)

Du hast in TestDisk die eingebundene Partition abgesucht, wie in Schritt 5 meiner Anleitung beschrieben. So wie es aussieht, hat die Entschlüsselung geklappt. Ich würde jetzt keine Experimente bezüglich Wiederherstellen der Partitionstabelle machen, sondern zunächst mal direkt mit TestDisk die Daten auf eine andere HDD kopieren. Photorec kann Daten wiederherstellen, allerdings ohne auf das eigentliche Dateisystem zu achten. Deshalb bekommst du keinerlei Dateinamen oder ähnliches. Von daher würde ich zunächst probieren, die Daten in TestDisk zu kopieren.

 

[Zuxxor]

das erstellen der partition wurde nicht abgebrochen, und die ganze partition wurde mit ext3 erstellt, kann mir die 0en auch nicht erklären, habe den block jetzt in 8 stunden gescannt, "not truecrypt header found" hängt das damit zusammen, das das filesystem "raw" ist?

edit: der nächste block wäre von (853410047 - 879665744) und würde mit testcrypt 19 Tage dauern..

 

[Simpson474]

Irgendwas ist da komisch - es darf bei TrueCrypt eigentlich keine Löcher geben. Kann es sein, dass du keine verschlüsselte Partition sondern einen verschlüsselten Dateicontainer hattest. Den Unterschied merkst du beim Einbinden der Partition: bei einem Dateicontainer wählst du in TrueCrypt "Select File" bei einer verschlüsselten Partition wählst du "Select Device".

 

[Zuxxor]

es war ganz sicher die ganze partition, ganz blöd bin ich ja auch nicht, aber trotzdem danke ich versteh das ganze auch nicht, daten will ich aber trotzdem wieder gibts ne möglichkeit alle bits auf der festplatte wieder herzustellen? hab mal gehört einmal löschen reicht nicht, die vorherige version ist trotzdem immer noch da, noch dazu ists ne ziemlich neue platte (drei schreibvorgänge bis jetzt)

 

[LoechlesWatcher]

GEILE SACHE!!!!!
konnte meine ganzen Daten in TestDisk sichern!!!
was ich hab aber nicht wusste, dass man in TestDisk Daten sichern kann...

und das andere was ich nicht verstehe, warum aufeinmal die Partitionen in TestDisk angezeigt werden!? Naja ich glaub man muss nicht alles im Leben verstehen.

BIG BIG BIG THX SIMPSON474 ---->The Master of HDD^^

soo Daten sichern und HDD formatieren

nochmal großen Dank das du dir zwei Wochen Zeit für mich genommen hast

 

[Simpson474]

und das andere was ich nicht verstehe, warum aufeinmal die Partitionen in TestDisk angezeigt werden!?

Weil du Schritt 1 bis Schritt 3 meiner Anleitung ausgeführt hast und in TestDisk anschließend auf dem eingebundenen TrueCrypt-Volume gesucht hast. Damit waren die Daten entschlüsselt und TestDisk konnte die Partitionen finden.

 

[awas]

hallo ich habe auch ein riesen problem
habe eine samsung spinpoint 500gb und eine ssd, die ssd wollte ich formatieren, also win7 eingelegt und bei der installation alle partitionen geloescht - ich dachte ich hab die 500gb platte abgestoepselt, also hab ich da auch 0 drauf geachtet und alle geloescht. als ich das dann gesehen habe, habe ich direkt reset gedrueckt weil ich hoffte dass windows erst die operationen ausfuehrt wenn ich weiter klicke. dem war leider nicht so. jetzt kann ich nicht mehr auf meine komplett verschluesselte 500gb platte zugreifen. ich verwende ein keyfile, und kein passwort. kann mir jemand sagen wie ich jetzt vorgehen soll? testdisk findet leider garnichts, auch nicht mit dem deep scan

und in testcrypt kann ich kein keyfile angeben

edit: habe ein neues volume erstellt, 3x versucht zu mounten, jetzt wurde das repariert und alles geht wieder, danke

 

[slrzo]

Hi,

mir ist leider genau das gleiche passiert ;(
Win 7 install, wollte alte Partitionen auf der Platte löschen und dabei leider die falsche ausgewählt.
Die komplette Festplatte war mit Truecrypt (6.1 glaub ich) verschlüsselt (AES). Also nicht eine vorhandene Partition verschlüsselt sondern die komplette HD war ausgewählt.
Wollte das Testcrypt mal suchen lassen, aber leider hatte ich auch Keyfiles benutzt.
Ist es möglich herauszufinden, wie ich ne Partition anlegen muss (Größe etc.) damit sie der von Truecrypt gleicht? Dann könnte man ja hoffentlich das Backup Header vom Ende laden.

Worauf muss ich bei HxD achten?
Wenn ich den Datenträger öffne habe ich z.B. am Ende lauter 4.4.4.4.4. Einträge. Gehe ich dann zurück, dann ist der Sektor 2930260783 der letzte mit "Zufallsdaten". Also Ende TC Partition?

 

[Simpson474]

Die komplette Festplatte war mit Truecrypt (6.1 glaub ich) verschlüsselt (AES). Also nicht eine vorhandene Partition verschlüsselt sondern die komplette HD war ausgewählt.

Wollte das Testcrypt mal suchen lassen, aber leider hatte ich auch Keyfiles benutzt.

Wenn ich den Datenträger öffne habe ich z.B. am Ende lauter 4.4.4.4.4. Einträge. Gehe ich dann zurück, dann ist der Sektor 2930260783 der letzte mit "Zufallsdaten". Also Ende TC Partition?

Irgendwas passt da nicht - wenn die ganze HDD und keine Partition verschlüsselt ist, so müssen die Zufallsdaten bis zum Ende der HDD gehen (zumindest wenn nicht die Schnellformatierung von TrueCrypt gewählt wurde). Das ganze klingt eher nach einer verschlüsselten Partition - leider funktionieren Key-Files in TestCrypt nicht und ich hab momentan auch kaum Zeit, dass ich den Support hinzufüge. Da du bei einer TrueCrypt-Partition nicht nur den letzten, sondern auch den ersten Sektor benötigst, reicht die Analyse mit HxD nicht aus. Außerdem ist es hier sehr schwer, exakt den letzten Sektor zu finden - meist liegt man ein Stück daneben. Du kannst probieren, unter dem Betriebssystem, unter welchem die Partition einst verschlüsselt wurde, eine neue unformatierte Partition anzulegen und diese anschließend versuchen in TrueCrypt zu mounten. Nachteil dieser Methode ist, dass bei jedem Erstellen und Löschen der Partition in der Windows-Datenträgerverwaltung ein Sektor überschrieben wird.

 

[slrzo]

ok, schade.

Ja das mit den 4.4.4.4. die da stehen hat mich auch gewundert. Aber gut, falls die Platte damals partitioniert war, dann vermutlich über Win XP. Aber das habe ich leider nicht mehr.

Ich schreib die Daten jetzt einfach mal unter "eigene Schusseligkeit" ab. Waren zum Glück nicht hoch wichtige, bzw. das wichtigste ist noch anderweitig gesichert.

Vielen Dank und vielleicht kannst du ja Keyfile Support einbauen in Testcrypt. Auf jedenfall ein sehr nützliches Tool was ich hier schon so gelesen habe.

 

[Alex66955]

Hallo,

Was ich hier so gelesen hab klingt sehr viel versprechend. Mir erging es so wie einigen Vorgängern von hier mein MBR wurde von Win7 überschrieben, dadurch lies sich das Laufwerk nicht mehr mounten.
Mein komplettes Laufwerk war mit TrueCrypt 6.3a verschlüsselt. Beim Benutzen der beschriebenen Tools ist mir aufgefallen das evtl. etwas mit den Angaben des Backup Header nicht okay ist (siehe Anhang). Habe trotzdem anschließend das ganze im TestCrypt gemountet und ein Datenrettungstool drüber laufen lassen jedoch ohne Erfolg.

Welche Möglichkeiten habe ich noch?

[EDIT]
Bin nochmal die beschriebene Punkte durchgegangen. Wenn ich mithilfe der Angaben von TestCrypt eine neue Partition in TestDisk erstellen will schlägt dies fehl. TestDisk gibt keine Fehlermeldung aus, nach dem Bestätigen mit Done lande ich wieder in dem Menü wo alle Partitionen angezeigt werden in meinem Fall keine. Irgendwas scheint nicht mit den Angaben zu stimmen ändere ich die Anfangsdaten von 0/0/1 zu 0/1/1 erscheint nach Done nochmal das Bestätigungs-Menü... da die Angaben aber nicht korrekt sind hab ich hier erstmal nicht weiter gemacht.

Anschließend habe ich versucht mit QuickSearch nach der verloren gegangenen Partition zu suchen Bild im Anhang

Gruß

Alex

 

[Simpson474]

Du hattest wirklich keine Partition auf der HDD, sondern die komplette HDD verschlüsselt. Deswegen lässt dich TestDisk auch die Partition nicht erstellen - dies ist nämlich nicht möglich. Der richtige Ansatz wäre schon das Einbinden in TestCrypt und die anschließende Verwendung von Datenrettungsprogrammen. Welche Programme hast du probiert? Wichtig ist bei allen Datenrettungsprogrammen, dass diese das in TestCrypt eingebundene, logische Laufwerk analysieren müssen - das physikalische Laufwerk ist verschlüsselt und damit kann kein Datenrettungsprogramm was anfangen.