ComputerBase Menü
Aktuelles

TrueCrypt Volumen formatiert und beschrieben ...

T

Tersus

Gast
Grüßt euch,

es ist mir, wie vor Jahren schon einmal, wieder passiert. Eine mit TrueCrypt verschlüsselte Partition wurde aus Versehen formatiert und wenige KBs darauf geschrieben.

Besteht eine Chance, die Daten des alten TC-Volumens zu retten?

Wie ist die gewöhnliche Vorgehensweise? Mein TC-Passwort ist mit wohl bekannt.

Vielen herzlichen Dank für Hilfen!
 
Bin kein Experte aber ich fürchte ohne Wiederherstellungs-CD oder ähnliches wirst Du kein Glück haben. Verschlüsselte Daten sind ja erstmal reinster Datensalat. Du müsstest also hingehen und die manuell überschriebenen "paar KB" auf der Platte identifizieren. Die betroffenen Sektoren dann mit den vorherigen Werten wiederherstellen und anschließend die Partition wiederherstellen.

Ich glaube aber nicht, dass TestDisk eine Funktion bietet, nur bestimmte Sektoren nach "Überschreib-Datum" wiederherzustellen. Anders kann ein third-party Tool die Daten jedenfalls definitiv nicht separieren / identifizieren.

Anders siehts aus wenn Du Container-Verschlüsselung aktiviert hattest. Die liegen logischer Weise meistens in einem Block und sollten sich (anhand der Größe identifizierbar) wiederherstellen lassen. Die dann rüberkopieren und mit TrueCrypt entschlüsseln.
 
Den Header hast du gesichert?
Falls ja, einfach wiederherstellen.

Falls nein, testcrypt herunterladen und versuchen, ihn wiederherzustellen.
 
Falls nein, wirds wahrscheinlich nicht funktionieren. Der Header wurde ja logischer Weise durch die Formatierung beschädigt. Selbst wenn TestDisk den retten könnte, müsste TrueCrypt ja die beschädigten Daten "rückrechnen" können. Was ein bisschen gegen den Sinn der Verschlüsselung sprechen würde. Er hat ja das ganze Volume als ein verschlüsselt, nicht in Blöcken / Containern.

Kann natürlich auch sein, dass TrueCrypt auf Basis Key + Header und vorhandener Daten, die beschädigten Sollwerte berechnen kann. Würde mich aber wundern.
 
Zuletzt bearbeitet:
Wenn einem das schon einmal passiert ist, dann sollte man ja nach dem ersten mal gelernt haben immer ein Backup aller wichtigen Daten und eine Sicehrung des Headers zu haben.
 
Also siehst auch Du, Holt, keine Möglichkeit mehr, die Daten zu retten?

Ich habe mit TestCrypt die automatische Suche nach dem Header gestartet und es wurde keiner erkannt.
 
Entschuldige die Frage, die Antwort ist offensichtlich, aber: Hast du ernsthaft kein Backup?
 
Wenn du Glück hast, kannst du das Volume mounten indem du die Option "Mount backup header embedded in volume if available" in den "Mount Options" aktivierst.
Wenn das funktioniert, kannst du die Daten wahrscheinlich retten.
 
Hab mich da nochmal reingelesen. Der Backup Header wird von TrueCrypt wohl auch am Ende der Partition gespeichert. Da könntest Du eventuell glück haben.

Versuch die Platte ggf mit TestDisk wiederherzustellen und anschließend mit TrueCrypt den Backup-Header zu Mounten. Wenn die Bereiche nicht überschrieben worden sind, müsste TestDisk die wiederherstellen können. Mit etwas Glück, kann TrueCrypt dann mit deinem vorhandenen Key noch den Backup-Header auslesen. Anschließend neuer Mount-Vorgang. Eventuell zeigt Windows nun einen beschädigten Datenträger an. Nun nochmal TestDisk starten und schauen, ob die Daten der Platte nun zumindest zum Teil gerettet werden können.

Allerdings glaube ich nicht, das TrueCrypt die Platte überhaupt entschlüsselt, wenn Windows vorher schon feststellt dass die Partitionstabellen beschädigt sind. Aber hatte TrueCrypt für solche Fälle (defekte Partitionen) nicht auch nen Kommandozeilenprogramm integriert?

EDIT:

Hier ist nen Tool dafür: http://www.wintotal.de/softwarearchiv/?id=7174

Also, versuchen die Daten mit Testdisk herzustellen (auch wenn er sagt kein Dateisystem erkannt - ist normal) Anschließend mit TestCrypt mounten. Dann damit versuchen den Backup-Header auszulesen. Dann versuchen mit Header und TrueCrypt zu entschlüsseln. Wenn Windows danach ein defektes Dateisystem meldet -> testdisk starten und schauen ob er nun Daten auslesen kann.

Ich bezweifel zwar selbst, dass das funktioniert aber naja eventuell ist es einen Versuch wert. Kommt darauf an wie gut TestCrypt ist - da du die ganze Platte verschlüsselt hattest, könnte das Tool eventuell eine dummy Partitionstabelle erstellen, damit die Platte von Windows überhaupt eingebunden werden kann. Nur dafür hätten nach der Formatierung keine Daten geschrieben werden dürfen ;) So kann TestCrypt nicht mehr feststellen, wo denn die alte Partition angefangen hat. Daher zuerst mit TestDisk versuchen, den alten Stand wiederherzustellen. Das wird aber vermutlich daran scheitern, das TestDisk nicht zwischen den neu geschriebenen Daten und den alten verschlüsselten unterscheiden kann. Für TestDisk ist beides Datensalat.

Zweiter Edit:

Gerade nach TrueCrypt +TestDisk gegoogelt. Theoretisch geht es wohl ähnlich wie ich auch schon vermutet habe, man muss wissen wo die alte Partition angefangen / aufgehört hat und die Partitionstabellen selbst erstellen, damit überhaupt erstmal gemounted werden kann. Anschließend könntest Du nach dem Backup-Header suchen.

Ganz ehrlich? Da brauchst Du mehr als fortgeschrittenen Kenntnisse. HF & Gl :)
 
Zuletzt bearbeitet:
Ich lasse seit zwei Tagen TestCrypt nach dem Header suchen. Es dauert jedoch noch 4 Tage, bis der Vorgang angeschlossen ist.

Es war eine SD Karte, die ich vollverschlüsselt hatte. Die Suche mit TestCrypt erfolgt ohne Partitions-Analyse, da ja nicht die aktuelle Partition durchsucht werden soll.

Ich bin sehr gespannt. Vielen Dank für eure Bemühungen!


Grüße
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

J
Festplatten Volumen Formatiert "diskpart" zu GPT
2
Antworten
20
Aufrufe
3.302
Sephe
S
N
Truecrypt Volumen von Win7 formatiert, Wiederherstellung möglich?
Antworten
15
Aufrufe
1.802
Holt
H
M
Nach Win7 Installation TrueCrypt Volumen formatiert ?
Antworten
5
Aufrufe
2.515
Simpson474
Simpson474
S
Masterdateitabelle von Truecrypt-Volumen im Eimer
Antworten
5
Aufrufe
3.016
Stephan77
S

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz