ComputerBase Menü
Aktuelles

Windows-Setup-Assistent ruiniert VeraCrypt-verschlüsselte HDD - Noch was zu retten?

@Questionmark Das System ist ein älteres aus 2009. Ich habe mit Rufus einen bootfähigen USB-Stick gemacht, da die Win10-Iso reingeladen und bei Rufus dann MBR ausgewählt. GPT geht bei dem System nicht, da kein UEFI. Vielleicht hat es damit zu tun?
 
ok, das erklärt die legacy installation.
 
Marvolo schrieb:
Hilfe des VeraCrypt Header-Backups kann ich den vorherigen Zustand nicht wiederherstellen und die Platte dann mit VC mounten?
Zum Vergrößern anklicken....
Ich weiß es nicht. Weil solch Zustand wie Du hast hab ich noch nie vorgefunden.

Header hin oder her. Nutzt nix wenn Inhalte im Verschlüsselten überschrieben sind. Das kann der Header nicht wieder herstellen.

Anyway.
Ich glaube das Du selbst kaum etwas ausrichten kannst.
 
Bevor das noch ewig breitgerollt wird: Mach es doch so wie von dir vorgeschlagen, Image des Datenträgers erstellen und an diesem testen, ob das einspielen des VeraCrypt Backups Erfolg bringt, danach kannst du dich immer noch an eine Datenrettungsfirma wenden.
 
  • Gefällt mir
Reaktionen: Marvolo
Das heißt, ich muss mir jetzt erst einmal eine zweite HDD kaufen, die genauso groß ist wie die originale. Wäre es sinnvoll, hier exakt dasselbe Modell mit derselben Größe wieder zu nehmen? Damit das am Ende ein richtiger 1:1 Klon gibt?
 
Selbes Modell in der Hoffnung das auch selbes Modell der HDD verbaut ist oder eine größere Externe.
 
  • Gefällt mir
Reaktionen: recu
Marvolo schrieb:
Vielleicht hat es damit zu tun?
Zum Vergrößern anklicken....
Es hat durchaus was damit zu tun, weil es eben ein steinaltes System ist. Zur simplen Erklärung, du hättest vorher deinen neuen Datenträger zum Startdatenträger erklären sollen. So funktionierte es nun mal früher, die Reihenfolge im BIOS entscheidet von welchen Datenträger der MBR zum Starten des Betriebssystems geladen wird, es heißt nicht umsonst Master Boot Record.

Moderne UEFI Systeme funktionieren hier ganz anders, da kann das Betriebssystem die Reihenfolge selbst nach einer Installation verändern, was auch mit den Sicherheitsfunktionen wie Secure Boot zu tun hat.

Vom Prinzip hat dein Problem nichts mit Windows zu tun, jedes andere System hätte das gleiche gemacht und eine Platte mit dem Status "uninitialisiert" ist nun mal für ein System ein komplett neuer Datenträger ohne Daten.

Ärgerlich an dieser Stelle ist allerdings durchaus, man hätte eine Meldung einbauen können, wie ich sie zumindest früher schon mal gesehen habe. "Nach der Installation wird ein Start von dem Datenträger nicht möglich sein, bevor die Bootreihenfolge der Festplatten nicht geändert wird." Die Hättest du vielleicht auch bekommen, wenn deine Festplatte eben nicht uninitialisiert, sondern eine vernünftige Partitionstabelle mit einem unbekannten System beinhaltet hätte.

Für die Zukunft einfach mal festhalten, wenn du schon an alten Systemen bastelst und nicht alle Datenträger vorher abklemmen kannst oder willst, dann auf jeden Fall penibel vor einer Installation die Bootreihenfolge im UEFI überprüfen.
 
  • Gefällt mir
Reaktionen: mchawk777
Marvolo schrieb:
So unüblich scheint mein Fall gar nicht zu sein.
Hier hat einer exakt dasselbe Problem, wo Windows die verschlüsselte Platte ruiniert hat
Ich trau mich das aber jetzt nicht am Original. Lieber mache ich erstmal ein Klon und probiere es dann dort.
Zum Vergrößern anklicken....

Tu das!
Ich gehe davon aus, daß du - nach der Wiederherstellung des Headers - eventuell eine zerlederte Partitionstabelle hast - ist jetzt nichts, was unrettbar wäre, aber alle Versuche, die schreibend auf das System zugreifen, sollten das auf einer Kopie tun.
 
  • Gefällt mir
Reaktionen: Marvolo
ChatGPT schätzt die Lage wie folgt ein:

Die Partitionstabelle und der Anfangsbereich der Festplatte, wo sich der VeraCrypt-Header befand, wurden durch die System-reserviert-Partition von Windows überschrieben. Dennoch besteht Hoffnung, die Daten zu retten, da Sie ein Backup des Headers und des Schlüssels haben.

Hier sind die Schritte zur möglichen Wiederherstellung:

1.​

Erstellen Sie ein vollständiges, sektorweises Image der betroffenen Festplatte, bevor Sie Änderungen vornehmen. Tools wie dd (Linux), Clonezilla, oder R-Studio sind dafür geeignet. Speichern Sie das Image auf einer separaten Festplatte.

2.​

Da der ursprüngliche VeraCrypt-Header überschrieben wurde, müssen Sie ihn mithilfe Ihres gesicherten Backups wiederherstellen.

Schritte:​

  1. Starten Sie VeraCrypt.
  2. Gehen Sie zu Tools → Restore Volume Header.
  3. Wählen Sie die Option Restore header from a backup file.
  4. Geben Sie den Speicherort Ihrer gesicherten Header-Datei an.
  5. VeraCrypt schreibt den alten Header zurück, wobei der beschädigte Bereich überschrieben wird.

3.​

Die System-reserviert-Partition hat wahrscheinlich die ursprüngliche Partitionstabelle zerstört. Sie müssen die Partitionstabelle reparieren oder manuell wiederherstellen, um den Rest der Festplatte lesbar zu machen.

Schritte:​

  1. TestDisk verwenden:
    • Starten Sie TestDisk.
    • Wählen Sie die betroffene Festplatte aus.
    • Wählen Sie die Option Analyse, um nach gelöschten oder beschädigten Partitionen zu suchen.
    • TestDisk sollte Ihnen die ursprüngliche Partition anzeigen, die mit VeraCrypt verschlüsselt war.
    • Schreiben Sie die ursprüngliche Partitionstabelle zurück.
  2. Alternativ:
    • Falls Sie die genaue Partitionsgröße kennen, können Sie mit einem Partitionierungstool wie GParted oder fdisk die Partition manuell neu erstellen. Dabei sollte die neue Partition den gesamten Platz der Festplatte umfassen.
    • Wichtig: Überschreiben Sie keine weiteren Daten.

4.​

Sobald der Header wiederhergestellt und die Partitionstabelle repariert ist:

  1. Öffnen Sie VeraCrypt.
  2. Wählen Sie Select Device und geben Sie die Festplatte oder Partition an.
  3. Aktivieren Sie unter Mount Options die Option Use backup header embedded in volume if available.
  4. Geben Sie Ihr Passwort und ggf. den PIM-Wert ein.

5.​

Nach dem Mounten überprüfen Sie die Integrität Ihrer Daten:

  • Greifen Sie auf Dateien zu und prüfen Sie, ob sie korrekt lesbar sind.
  • Kopieren Sie wichtige Daten sofort auf ein anderes Medium.

6.​

Falls die Partitionstabelle nicht repariert werden kann, können Sie versuchen, den Datenträger als Ganzes zu mounten:

  1. Vollständigen Datenträger mounten:
    • Wählen Sie in VeraCrypt Select Device.
    • Wählen Sie den gesamten Datenträger (nicht nur eine Partition).
    • Geben Sie Passwort, PIM und ggf. Schlüsseldatei ein.
    • Falls dies nicht funktioniert, experimentieren Sie mit Backup Header Embedded in Volume.
  2. Datenrettungstools:
    • Falls der Zugriff weiterhin fehlschlägt, könnten spezialisierte Tools wie R-Studio, DMDE oder Recuva Datenfragmente wiederherstellen, falls sie durch die Verschlüsselung entschlüsselt werden können.

Wichtige Hinweise​

  • Header-Backup ist entscheidend: Ohne den ursprünglichen Header ist die Wiederherstellung äußerst schwierig, da VeraCrypt-Daten ohne diesen Header nicht interpretierbar sind.
  • Überschriebene Bereiche: Die Daten, die sich physisch in dem Bereich befinden, der von der System-reserviert-Partition überschrieben wurde, sind verloren. Es gibt keine Möglichkeit, diese zurückzuholen, da sie mit Zufallsdaten überschrieben wurden.
  • Datenfragmente sichern: Falls das Volume nur teilweise zugänglich ist, kopieren Sie so viele Daten wie möglich auf eine andere Festplatte, bevor Sie weitere Reparaturversuche unternehmen.
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: redjack1000
Schritt 3 & 6 verstehe ich nicht ganz.. Meine HDD war ja nicht auf Partitionsebene verschlüsselt, sondern auf Disk-Ebene. Also fabrikneu ausgepackt, angeschlossen und direkt verschlüsselt, ohne vorher eine Partition damit zu erstelllen. Verschlüsselt ab dem ersten Sektor.

EDIT:
Habe es ChatGPT so mitgeteilt, dies macht anscheinend einen minimalen Unterschied in der Vorgehensweise... Wobei Schritt 5 abschreckend klingt :o

Antwort:

Das zusätzliche Detail ist sehr wichtig und hat Auswirkungen auf die Wiederherstellungsstrategie. Da die gesamte Festplatte (und nicht nur eine Partition) verschlüsselt wurde und sie vor der Verschlüsselung nicht initialisiert war, bedeutet dies, dass VeraCrypt die komplette Festplatte als verschlüsseltes Volume behandelt.

Das heißt:

  1. Die gesamte Festplatte enthielt nur verschlüsselte Daten (kein Dateisystem, keine Partitionen).
  2. Der VeraCrypt-Header und der verschlüsselte Datenbereich befanden sich direkt am Anfang der Festplatte.
Durch das Windows-Setup wurde nun höchstwahrscheinlich der Anfang der Festplatte überschrieben, wo der VeraCrypt-Header und möglicherweise weitere Daten lagen. Dank Ihres Header-Backups sind jedoch Wiederherstellungsversuche möglich.

Schritte zur Wiederherstellung:​

1. Sicherung der gesamten Festplatte

Erstellen Sie ein sektorweises Backup der gesamten Festplatte, wie zuvor beschrieben, mit Tools wie dd, Clonezilla oder R-Studio. Dieses Backup schützt Sie vor weiteren Datenverlusten bei Wiederherstellungsversuchen.

2. VeraCrypt-Header wiederherstellen

Da Ihre Festplatte als Ganzes verschlüsselt wurde, müssen Sie den Header manuell an den richtigen Ort zurückschreiben.

So geht's:​

  1. Starten Sie VeraCrypt.
  2. Gehen Sie zu Tools → Restore Volume Header.
  3. Wählen Sie die Option Restore header from a backup file.
  4. Geben Sie den Speicherort Ihres gesicherten Headers an.
  5. Wählen Sie die gesamte Festplatte (nicht eine Partition) als Ziel aus.
  6. VeraCrypt wird versuchen, den Header zurückzuschreiben.
Wichtig: Der Header muss exakt an den Anfang der Festplatte geschrieben werden, wo er ursprünglich war. Dies sollte VeraCrypt automatisch richtig handhaben.

3. Manuelles Mounten des Volumes

Nachdem der Header wiederhergestellt wurde:

  1. Öffnen Sie VeraCrypt.
  2. Wählen Sie Select Device und geben Sie die gesamte Festplatte an.
  3. Aktivieren Sie unter Mount Options die Option Use backup header embedded in volume if available.
  4. Geben Sie Ihr Passwort, den PIM-Wert und ggf. die Schlüsseldatei ein.
  5. Mounten Sie die Festplatte.

4. Datenintegrität prüfen

Wenn das Mounten erfolgreich ist:

  • Prüfen Sie, ob Sie auf Ihre Daten zugreifen können.
  • Kopieren Sie wichtige Daten sofort auf eine andere Festplatte.

5. Was tun, wenn das Volume nicht korrekt mountet?

Falls das Mounten scheitert, könnten Teile des VeraCrypt-Volumes beschädigt sein. In diesem Fall:

A. Wiederherstellung durch sektorweises Lesen

Versuchen Sie, mit spezialisierten Tools den verschlüsselten Datenbereich zu extrahieren. Dieser liegt auf der Festplatte hinter dem Header.

  • Tools wie WinHex oder HexEditor können helfen, die Festplatte sektorenweise zu durchsuchen.
  • Suchen Sie nach Datenmustern, die typisch für ein VeraCrypt-Volume sind.

B. Experimente mit verschiedenen Header-Positionen

Falls der Header nicht an der korrekten Stelle wiederhergestellt wurde, kann es helfen, ihn mit Tools wie dd oder HDD Raw Copy Tool an alternative Sektoren zu schreiben.

Zu erwartender Datenverlust​

  • Überschriebene Bereiche: Der Anfangsbereich der Festplatte, der von der Windows-System-reserviert-Partition überschrieben wurde, ist höchstwahrscheinlich verloren.
  • Verbleibender Datenbereich: Alle verschlüsselten Daten nach dem überschriebenen Bereich sollten theoretisch intakt sein, wenn der Header korrekt wiederhergestellt wurde.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Das ist wirklich eine sehr knifflige und gleichzeitig interessante Situation – aber es gibt tatsächlich berechtigte Hoffnung die Daten auf deiner verschlüsselten HDD wiederherzustellen, wenn du die richtigen Schritte befolgst.
Hier einige wichtige Hinweise und Empfehlungen:

1. Wichtiger erster Schritt: Original-Platte keinesfalls weiter verwenden

Es war absolut richtig, die HDD sofort auszubauen und weitere Änderungen zu vermeiden. Jede zusätzliche Schreiboperation könnte verschlüsselte Daten unwiederbringlich überschreiben, insbesondere bei einer Platte, die vollverschlüsselt ist/war.

Bevor du also irgendetwas am Inhalt der HDD änderst, solltest du jedenfalls einen 1:1-Klon der Festplatte erstellen. Das schützt deine Originaldaten und ermöglicht es dir, Wiederherstellungsversuche wiederholt auf der (immer wieder erneuerbaren) Kopie durchzuführen. Tools wie dd (unter Linux) eignen sich gut dafür.

Die Zielfestplatte (an der du dann die Versuche unternimmst), muss mindestens gleich groß sein. In gewissen Szenarien kann es hilfreich sein wenn sie exakt gleich groß ist. Das idennte Modell ist dabei aber nicht erforderlich. Wichtig ist dass sich "gleich groß" auf die Sektoranzahl und nicht die Marketing-Kapazität bezieht, gerade bei USB-Platten ist diese teilweise unterschiedlich.

2. Auswirkungen der 50MB "System Reserved"-Partition

Das Schreiben der 50MB-Partition durch das Windows-Setup mit dem Bootloader hat entsprechend deinem Screenshot "nur" den Bereich am Anfang der Festplatte überschrieben (Sektor 0 und die ersten Datenblöcke). Das sich die Formatierung hier einen freien Bereich sucht ist a) bei Vollverschlüsselung technisch nicht möglich b) auch bei unverschlüsselten Datenträgern nicht üblich.

Der nun wohl überschriebene VeraCrypt-Header am Beginn enthält die notwendigen Informationen zur Entschlüsselung der Daten. Wenn die Position der früheren verschlüsselten Partitionstabelle ebenfalls überschrieben wurde, aber die verschlüsselten Daten dahinter nicht alle überschrieben wurden (was bei genügend freiem Platz wahrscheinlich ist), stehen die Chancen gut notfalls zumindest mit entsprechenden Tools die Daten zu retten.

3. Vorschlag: Wiederherstellungsversuch

  1. Header-Backup einspielen
    Auf der geklonten Festplatte kannst du dann das Header-Backup mit VeraCrypt wieder einspielen:
    • Öffne VeraCrypt und wähle die Option „Header wiederherstellen“.
    • Lade die Header-Backup-Datei, die du erstellt hast, und lasse VeraCrypt den Header am Anfang der Festplatte wiederherstellen.
  2. Datenmount versuchen
    Nach der Wiederherstellung des Headers wird die Platte hoffentlich wieder als verschlüsseltes Laufwerk erkannt werden und du kannst versuchen, sie mit deinem Passwort und dem Key zu mounten.

4. Weitere Überlegungen

  • Vorsicht mit dem Dateisystem: Selbst wenn du nach dem Klonen den Header wiederherstellst, könnte es sein, dass die Partition irreparabel bleibt, falls sensible Bereiche überschrieben worden sind. Teste daher alle Änderungen ausschließlich auf dem Klon und behalte das Original als Backup.
  • Falls der Header-Backup-Versuch scheitert: In solchen Fällen können spezialisierte Datenrettungsdienste wie Ontrack oder auch Attingo helfen, indem sie die ehemalige Struktur der Festplatte und die Auswirkungen der 50MB-Partition genau analysieren.

5. Warum Windows den MBR auf die HDD geschrieben hat

Deine Vermutung, dass Windows die Platte aufgrund ihres SATA-Ports bevorzugt hat, ist wahrscheinlich korrekt. Das Windows-Setup priorisiert häufig die Platte am ersten SATA-Port für die "System Reserved"-Partition, auch wenn eine andere Festplatte für die Installation ausgewählt wurde.
Um solche Probleme in Zukunft zu vermeiden, solltest du ungenutzte Festplatten während des Windows-Setups physisch vom System trennen.

Es gab auch einige Windows Versionen bei denen man die Datenträger-Initialisierung (also das Schreiben einer GPT/MBR-Partitionstabelle) in der Datenträgerverwaltung zwar auf einen Datenträger beschränkt hat, es aber dennoch auf allen uninitialisierten Platten gemacht wurde.

Viel Erfolg, und wenn du noch Fragen hast, lass es mich wissen!

 
  • Gefällt mir
Reaktionen: Evil E-Lex und Marvolo
Marvolo schrieb:
Und warum es plötzlich 2 "nicht zugeordnete Partitionen" erstellt hat (siehe Screenshot oben), verstehe ich auch nicht.
Zum Vergrößern anklicken....

Nun ja, der Datenträger ist jetzt MBR-initialisiert. Der maximal nutzbare Speicherplatz von MBR sind 2048 GB. Die Platte ist jetzt in ein nutzbares und ein nicht nutzbares "Nicht zugeordnet" unterteilt. :D
 
  • Gefällt mir
Reaktionen: Marvolo
Attingo.com schrieb:
Das Schreiben der 50MB-Partition durch das Windows-Setup mit dem Bootloader hat entsprechend deinem Screenshot "nur" den Bereich am Anfang der Festplatte überschrieben (Sektor 0 und die ersten Datenblöcke)
Zum Vergrößern anklicken....

Spannend wirds dann, ob die wenigen, wichtigen Daten, dann genau in diesen ersten Datenblöcken lagen oder eben nicht. 98% des Inhalts waren Backup-Kopien. Die habe ich alle. Wichtig wären die letzten 2%.

Speichert die HDD chronologisch nach Zeit? D.h. die ersten auf die Platte geschriebenen Daten sind demnach weiter vorne direkt nach dem Header und die jüngsten Daten weiter hinten? Dann hätte ich Glück.
 
Ja übrigens wird System-reserviert auch noch verwendet. Markiere Laufwerk C als aktiv und führe

bcdboot C:\Windows /s C:

als Administrator aus. :D
 
Marvolo schrieb:
Speichert die HDD chronologisch nach Zeit? D.h. die ersten auf die Platte geschriebenen Daten sind demnach weiter vorne direkt nach dem Header und die jüngsten Daten weiter hinten? Dann hätte ich Glück.
Zum Vergrößern anklicken....
Je nach Firmware wird idR. von innen nach außen geschrieben, da Daten auf der innenseite der Platte leicht schneller erreicht werden können vom Lesekopf.
Aber graue Theorie ist eine Sache, Praxis die andere, das alles kann man nur feststellen wenn man ausprobiert (an der Image natürlich :)).
 
Volume Z schrieb:
Ja übrigens wird System-reserviert auch noch verwendet. Markiere Laufwerk C als aktiv und führe

bcdboot C:\Windows /s C:

als Administrator aus
Zum Vergrößern anklicken....

Das verstehe ich jetzt nicht.
Nachdem ich die VeraCrypt-Platte ausgebaut habe (wo ja das system-reserviert drauf war), habe ich direkt Windows nochmal neu installiert, diesmal wirklich nur mit der Zielplatte als einzige Platte am Mainboard. System-reserviert wird also nirgends mehr verwendet, zumindest nicht der, der fälschlicherweise jetzt auf der VeraCrypt-Platte hockt...
Ergänzung ()

Malaclypse17 schrieb:
Aber graue Theorie ist eine Sache, Praxis die andere, das alles kann man nur feststellen wenn man ausprobiert (an der Image natürlich :)).
Zum Vergrößern anklicken....

Die bau- und modellgleiche 6TB IronWolf kommt Ende der Woche an. Erst dann kann ich klonen.
Ich wusste nicht, ob es Probleme mit VC gibt, wenn ich die Originalplatte auf eine größere schiebe - eventuell hat VeraCrypt ja irgendwo Metadaten und Infos über die Gesamtgröße der verschlüsselten Platte, deshalb dachte ich, ich bestell lieber mal direkt ne baugleiche/identische Kopie der Platte. Zumindest die Modellnummer ist diesselbe. Hoffentlich ist die dann auch bis zum letzten Sektor genau gleich groß wie die originale. Hat jedenfalls auch 6 TB.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz