Ursprünglich externe (mit TrueCrypt verschlüsselte) Festplatte, als gpt initialisiert

[Nebuchadnezzar2]

Ich hatte meine externe Festplatte komplett mit Truecrypt verschlüsselt.

Dann hat sich mein USB port am Gehäuse verabschiedet.
Die Platte habe ich dann aus dem Gehäuse ausgebaut, und in meinem Rechner eingebaut.
Als ich Windows dann wieder angeschmissen hatte, wollte Windows meine Platte initialisieren, damit sie verwendet werden kann.
Was ich dämlicher weise mit gpt bestätigt hatte.

Komme ich irgendwie an meinen TrueCrypt Header wieder ran?
Ich habe natürlich kein Backup davon, wie soll es auch anders sein.

Verschlüsselt wurde ursprünglich mit TC 7.0 oder 7.1a, von daher sollte es eigentlich ein Backup am Ende der Platte geben.
Könnte es sein, das eine gpt Initialisierung beide Header überschreibt?

Ich hoffe einer von euch Genies kann mir irgendwie helfen.

 

[RalphS]

Kein Backup = Daten problematisch.
Daten verschlüsselt und kein Backup = Garantie, daß die Daten auf jeden Fall alle weg sind.

Und, ja; GPT wird an den Anfang und als Backup ans Ende des Datenträgers geschrieben.

Du könntest aber auf jeden Fall mal TestDisk greifen und schauen, was der dazu sagt. Wenn die Platte vorher schon GPT/MBR war, kannst Du das damit möglicherweise restaurieren.

Ebenfalls sinnvoll: Sektorbasiertes Image ziehen, bevor Du *irgendetwas* mit dem Datenträger machst. Dann dieses Image kopieren und aus dieser Kopie versuchen, das zu restaurieren. So ist sichergestellt, daß Restaurierungsversuche den eh schon hochkritischen Datenbestand nicht noch weiter beschädigen können.

Ansonsten sieht es eher schlecht aus.

 

[0815burner]

Sektorbasiertes Image ziehen

Hier werfe ich mal den dd-Befehl von Linux in den Raum.

Ansonsten ist das Ganze natürlich übel.

 

[Nebuchadnezzar2]

Also die Platte wurde wurde ja, solange sie nicht mit TrueCrypt gemountet wurde als RAW Datenträger angezeigt.
Nach dem Mounten war es eine NTFS Partition mit MBR Header.
Durch das Initialisieren hat Windows mir einen GPT Header am Anfang und am ende der Platte erstellt.
Zusätzlich wurde noch eine 128 MB Partition erstellt.

Testdisk hatte eine GPT platte erkannt, darunter hatte ich dann mal einen Deepscan gemacht.
Gefunden hat er das hier.



Spielt das eine Rolle unter welchem Typ man sucht?
Ob Intel / GPT / oder unknown.

Ich hatte mal gelesen bei einem TrueCrypt Volume sollte man unknown wählen, da es unformatiert ist solange es nicht gemountet wurde.

Ergänzung (19. August 2017)

Was währe wenn beide TrueCrypt Header überschrieben wurden?

Somit könnte ich den auch nicht wieder herstellen.
Könnte man den mit einem Datenrettungstool irgendwie wiederherstellen?
Man kann ja auch bereits überschriebene Daten wiederherstellen.
Ist nur die Fragen ob man damit in dem Bereich suchen kann wo die Header liegen, und nach was man ausschau halten soll wenn irgendetwas gefunden wird.

Ergänzung (19. August 2017)

Aber müsste nicht eigentlich der TrueCrypt Header und Das MBR/GPT Gedöns nicht in anderen bereichen geschrieben werden?

Bei einem funktionierendem TrueCrypt Volumen gibt es doch den TrueCrypt Header und das MBR/GPT coexistent.
Also müsste doch Der TrueCrypt Header und der MBR/GPT in andere bereiche geschrieben werden.
Ansonsten wüste ich nicht wie ein TrueCrypt Volume einen MBR oder GPT haben kann.
Musste beim erstellen eines TrueCrypt Vilumens der Datenträger RAW sein oder konnte der schon in NTFS Partitioniert sein?
Kann mich nicht mehr dran erinnern.

 

[Simpson474]

Die Festplatte hat nicht mehr als 2 TB, daher hätte das Ausbauen aus dem Gehäuse ohne Datenverlust funktionieren müssen. Da das aber nicht funktioniert hat (Windows hat die HDD ja initialisiert), deutet vieles auf eine Hardwareverschlüsselung im externen Gehäuse hin (gibt es hauptsächlich bei Western Digital). Hast du TestCrypt schon mal über den Anfang und das Ende der HDD laufen lassen?

 

[Nebuchadnezzar2]

Ja habe ich, es wird aber nichts gefunden.

Allerdings meckert TestCrypt das er den TestCrypt Treiber nicht laden kann.



Bzw. sucht TestCrypt nur die ersten und die letzen 20.000 Sektoren ab.
Wobei er bei den ersten 20.000 Sektoren vielleicht noch Glück haben könnte.
Nur reichen die letzten 20.000 Sektoren nicht aus. Da es anscheinend noch 2 Mac HFS Partitionen am Ende gibt.
Ich habe die letzten 12 Stunden schon die Letzten 1.000.000 Sektoren absuchen lassen, was aber noch nicht gereicht hat.
Ich müsste ungefähr 1.250.000 Sektoren zurück gehen, was dann nochmal 14 Stunden wären.
Ich hatte nämlich mal mit HxD drüber geschaut, und noch ziemlich viel am Ende der Platte im Klartext gefunden, was ja bei einer Vollverschlüsselung eigentlich nicht der Fall sein sollte.

 

[Simpson474]

Vergiss die von TestDisk gefundenen Partitionen, dabei handelt es sich um fehlerhaft erkannte Partitionen: TestDisk such nach speziellen Markern, welche für gewöhnlich z.B. den Start einer HFS Partition markieren, bei einer vollständig verschlüsselten Festplatte können solche Marker aber rein zufällig gefunden werden. Die Länge eines Standard GPT-Headers beträgt gerade mal 35 Sektoren, damit sollte der TrueCrypt Backup-Header überlebt haben. Mein Verdacht wäre immer noch das Festplattengehäuse, um welches handelt es sich genau?

 

[Nebuchadnezzar2]

WD 1.5TB My Book Studio External Hard Drive
WDBAAJ0015HSL-01

Aber warum ist dann der Bereich der HFS Partition nicht verschlüsselt? Ich habe jede menge unverschlüsselte Daten in diesem Bereich. Soll ich dir mal was von HxD zeigen?

 

[Simpson474]

Ja, mach bitte ein paar Screenshots von HxD.

EDIT: Bezüglich Hardwareverschlüsselung bin ich mir bei der Artikelbeschreibung der HDD nicht sicher, aber die Festplatte verwendet ein virtuelles CD-Laufwerk. Dadurch wird wohl ein spezielles Partitionslayout verwendet, um den Inhalt des virtuellen CD-Laufwerks zu verstecken.

EDIT: Ich hab noch folgendes bei Western Digital gefunden (für WDBAAJ0015HSL-EESN, sieht aber genau wie die WDBAAJ0015HSL-01 aus):

Drive lockGain peace of mind knowing that your data is protected from unauthorized access or theft with password protection and 256-bit hardware-based encryption.

 

[Nebuchadnezzar2]

Ich glaube das mit der Verschlüsselung konnte man in der Software, die es dafür gab, irgendwie einstellen.
Dann musste man glaube ich auch immer ein Password eingeben. Das hatte ich glaube ich am Anfang mal genutzt.
Die Software hatte ich dann aber schon etliche Jahre nicht mehr genutzt. Also auch keine Verschlüsselung.

Ich habe dir mal ein Paar Abbilder von ein Paar Sektoren gemacht, und als Rich Text gespeichert.
Kannst du ja mal drüber schauen.

https://drive.google.com/drive/folders/0Bx2RcHaKApFFc09IcWJXQ1p6WXM?usp=sharing

 

[Simpson474]

Das sieht gut aus, die ersten 2048 Sektoren sind entweder 0 oder immer mit dem gleichen Muster gefüllt (= 0 mit aktiver Hardwareverschlüsselung im ECB Modus). Sektor 2048 enthält reine Zufallsdaten, dieser Sektor wurde also seit dem Einbau der Festplatte in den PC nicht überschrieben. Exakt dort sollte sich der TrueCrypt Header befinden und sobald die Hardwareverschlüsselung des Gehäuses wieder funktioniert, sollte dieser auch von TestCrypt gefunden werden. Das was du in den hinteren Sektoren siehst, ist mit hoher Wahrscheinlichkeit das virtuelle CD-Laufwerk, zumindest beginnen viele Strings mit "WD" für Western Digital, z.B. "WDFramelessWindow". Der nächste Schritt wäre jetzt, die Festplatte wieder im Originalgehäuse zum Laufen zu bekommen. Du schreibst von einem defekten USB-Port, das ist bei diesem Gehäuse aber kein Problem, direkt daneben befindet sich ein FireWire-Port ist. Daher ein entsprechendes Kabel und wahrscheinlich auch eine entsprechende Controllerkarte besorgen und hoffen, dass damit die HDD wieder im Originalgehäuse läuft.

 

[Nebuchadnezzar2]

Mmhh, das mit dem FireWire Kabel wäre vielleicht ne Lösung.
Ich hatte mir auch überlegt nen USB Kabel direkt auf die Platine zu löten.
Müsste ich mich nur mal schlau machen wie das mit der Belegung dann wäre.
Ich kann mich ja auch mal wegen den FireWire Sachen schlau machen.

 

[Nebuchadnezzar2]

So, meine Platte, läuft jetzt wieder als externe Festplatte.
Habe mir ne FireWire 800 Karte besorgt.
Jetzt soll ich wieder die Platte initialisieren.
Sonnst kann Windows mit der Platte nichts anfangen.

 

[Simpson474]

Durch das Initialisieren beim direkten Anschluss an den SATA-Port (ohne Hardwareverschlüsselung) wurde natürlich die komplette Partitionstabelle zerstört. Ich würde dennoch vorerst nicht neu initialisieren sondern direkt mit TestCrypt weitermachen.

 

[Nebuchadnezzar2]

Ich habe jetzt mit TestCrypt ne suche nach den TrueCrypt header gemacht, gefunden hat er nur das Backup.
Das Backup habe ich dann gemountet, nachdem ich das mit dem laden des TestCrypt Treibers hinbekommen habe.
Und Zack mein Laufwerk ist wieder da, und alle Daten drauf.
Kopiere die jetzt erst mal alle runter, dauert etwas, sind 1,25 TB.

Danke Festplatten God (Simpson474), dass das dann doch alles noch so gut funktioniert hat.
Da warst du mit der Hardwareverschlüsselung , auf dem richtigen Dampfer.

Bekommst natürlich ne Spende für dein TestCrypt Tool.
Ohne dich und deinem Tool, wären viele, (mich eingeschlossen) am Arsch gewesen.