Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Windows-Setup-Assistent ruiniert VeraCrypt-verschlüsselte HDD - Noch was zu retten?
Wenn du alle Vor- und Nachteile einer Verschlüsselung in Erwägung gezogen hast, dann hattest du dieses Szenario gewiss nicht auf dem Schirm!
Eine 6 TB als MBR zu konfigurieren, ist absoluter Irrsinn! Seit WIN XP (64) können NON-OS-Disks auf BIOS Computern als GPT initialisiert werden!
Du hast aber einfach keine Ahnung und wenn du glaubst, deine Verschlüsselung bietet dir Sicherheit, dann irrst du dich ganz gewaltig!
Es beruhigt nur paranoides Gedankengut!
Das letzte Mal, als ich nachgeschaut/gelesen habe, galten VeraCrypt-Verschlüsselungen mit ausreichend starkem Passwort in Verbindung mit einem hohen PIM nach wie vor als unknackbar - so wie das im Allgemeinen der Fall ist mit AES-Verschlüsselungen und starkem Passwort. Es sei denn, du hast Mittel & Wege & Rechenpower zur Verfügung, die der Rest der Menschheit bislang noch nicht entdeckt und entwickelt hat.
Wer glaubt, sowas könne man brute-forcen, der glaubt vermutlich auch an den Weihnachtsmann.
@Marvolo
Da ich nun am PC bin. Kurz nach gefragt.
Der Daentraeger 0 ist das Problemkind. Den hattest Du komplett mit Veracrypt verschluesselt. Wieso sind da 3 Partitionen? Die kleine 50 MB ja ok. Aber die anderen Beiden? Wieso 2 wenn Du die 6TB komplett mit Veracrypt behandelt hast?
Ergänzung ()
Marvolo schrieb:
Passwort in Verbindung mit einem hohen PIM nach wie vor als unknackbar
Da ich nun am PC bin. Kurz nach gefragt.
Der Daentraeger 0 ist das Problemkind. Den hattest Du komplett mit Veracrypt verschluesselt. Wieso sind da 3 Partitionen? Die kleine 50 MB ja ok. Aber die anderen Beiden? Wieso 2 wenn Du die 6TB komplett mit Veracrypt behandelt hast?
Das weiß ich auch nicht, warum die enstanden sind. Vorher war der komplette Datenträger mit VeraCrypt verschlüsselt und wurde in der Datenträgerverwaltung dementsprechend auch nur als "Ganzes" in schwarz und un-initialisiert angezeigt.
Nachdem Windows dann aufgrund der MBR-Installation den MBR auf die VeraCrypt-Platte gehauen hat, war das hinterher nun so wie im Screenshot. Da gabs jetzt plötzlich 3 Partitionen - einmal die 50mb system-reserviert und die 2 anderen "nicht zugeordneten".
Aber @Volume Z hatte hierfür in Beitrag 35 ja schon eine Erklärung geliefert:
Nun ja, der Datenträger ist jetzt MBR-initialisiert. Der maximal nutzbare Speicherplatz von MBR sind 2048 GB. Die Platte ist jetzt in ein nutzbares und ein nicht nutzbares "Nicht zugeordnet" unterteilt.
Natürlich steigt die Wahrscheinlichkeit für Totalverlust je höher die Sicherheitsmaßnahmen bzw. in dem Fall Verschlüsselungen sind. Dieses Risiko muss man abwägen. Da der Großteil aber Backup-Dateien waren, die verschlüsselt auf der Platte lagen und ich zudem Header & Key extern ge-backup-ed habe und normalerweise nicht einfach so mutwillig 50mb MBRs auf verschlüsselte Platten schreibe, habe ich mich dahingehend schon weitgehend so gut es geht abgesichert. Ein Restrisiko bleibt immer. Das ist aber auch bei nicht-verschlüsselten HDDs vorhanden, im Sinne von Totalausfall mit Datenverlust.
Bei der Aussage von denen das eine Partition sich quer über den Datenträger (HDD) auf möglichst freien Bereich erstreckt würde ich denen keinen Meter trauen...
Während Du einen lesbaren Auftaktbeitrag von Marvolo bekommen hast, musste der Telefonbediener von Ontrack den Sachverhalt fernmündlich verstehen!
Du weißt nicht, ob Marvolo das unverständlich erklärt hat oder der Telefonist den Sachverhalt nicht mehr überblickt hat.
xxMuahdibxx schrieb:
Marvolo schrieb:
Ich sollte hier vielleicht dazu sagen: der lokale Dienst, mit dem ich telefoniert hatte, schien nicht sehr kompetent. Ich glaube, die kannten sich mit Verschlüsselungen kaum aus. Die machen wahrscheinlich eher so Sachen wie "gelöschte Dateien wiederherstellen etc."
Ontrack wäre eine Option, aber die sind halt Sack-teuer. Da die Platte ja weder physisch kaputt ist noch irgendwas Gelöschtes wiederhergestellt werden muss, würde ich aktuell dazu tendieren, die Platte 1:1 mit Schreibschutz zu klonen und dann erstmal am Klon versuchen, das Backup des VC-Headers wieder einzuspielen und sie dann hoffentlich erfolgreich zu mounten und alles wäre wieder da...
Das "alles wäre wieder da" halte ich für Wunschdenken. Immerhin ist Dir klar, dass Dein Datenrettungsproblem in die Kategorie "logical recovery" fällt und keiner Festplattenöffnung bedarf.
Theoretisch kann Dir auch ein begabtes Ein-Mann-/Ein-Frau-Unternehmen/Ein-Es-Unternehmen helfen.
Für Dein Problem braucht man keine Riesenhardwareausstattung.
Deine nun unter Windows (welche Version eigentlich?) partitionierte Festplatte darfst Du auf keinen Fall an einen Windows-Rechner anschließen. Der Schreibtrieb von Windows-Betriebssystemen ist größer als z.B. der Steuerspartrieb.
Das Telefonat war nicht mit Ontrack, das war mit einem lokalen, no-name Datenrettungsdienstleister vor Ort. Ontrack hat mich aber später dann zurückgerufen. Mit denen habe ich auch lange telefoniert.
recu schrieb:
Du weißt nicht, ob Marvolo das unverständlich erklärt hat oder der Telefonist den Sachverhalt überblickt hat.
Doch, dem habe ich das genauso erklärt wie Ontrack. Ontrack hat es aber direkt verstanden, der lokale Dienstleister hat selbst für mich als HDD-Laie Dinge gesagt, von denen ich selber wusste, dass sie so nicht stimmen können.
Laut Homepage sind sie das, inklusive Reinraum-Labor.
recu schrieb:
Deine nun unter Windows (welche Version eigentlich?) partitionierte Festplatte darfst Du auf keinen Fall an einen Windows-Rechner anschließen. Der Schreibtrieb von Windows-Betriebssystemen ist größer als z.B. der Steuerspartrieb.
Ich hoffe doch sehr, dass wenn überhaupt nur innerhalb der 50mb system-reserviert Partition geschrieben wurde, FALLS dort überhaupt jemals geschrieben wird. Meines Wissens nach dient die Partition nur als Backup für manche Windowsfunktionen.
Zudem wurde die Platte dann nach dem 2x Booten ausgebaut und liegt nun seither hier rum. Außerdem gehe ich nicht davon aus, dass Windows in die "nicht zugeordneten" Bereiche der Platte außerhalb der 50mb MBR schreiben würde, oder doch?
Nun ja, der Datenträger ist jetzt MBR-initialisiert. Der maximal nutzbare Speicherplatz von MBR sind 2048 GB. Die Platte ist jetzt in ein nutzbares und ein nicht nutzbares "Nicht zugeordnet" unterteilt.
Wer ist der Dienstleister? Eventuell ist das nur ein parasitärer Wiederverkäufer, der Deine Festplatte weiterleitet.
Marvolo schrieb:
Ich hoffe doch sehr, dass wenn überhaupt nur innerhalb der 50mb system-reserviert Partition geschrieben wurde, FALLS dort überhaupt jemals geschrieben wird. Meines Wissens nach dient die Partition nur als Backup für manche Windowsfunktionen.
Zudem wurde die Platte dann nach dem 2x Booten ausgebaut und liegt nun seither hier rum. Außerdem gehe ich nicht davon aus, dass Windows in die "nicht zugeordneten" Bereiche der Platte außerhalb der 50mb MBR schreiben würde, oder doch?
Ehrlich gesagt, würde ich eher von dem Schlimmsten ausgehen.
Der Gedanke daran ist aber unproduktiv. Natürlich sagt sich das für mich leicht bei einer fremden Festplatte!
Wenn Du keinen Zeitdruck hast, kannst Du alle nötigen Schritte üben.
Die Übungsfestplatte(n) können für Dich eine kleine Festplatte sein oder gar ein USB-Stick.
Ich kenne Veracrypt nicht, nur seinen Vorgänger.
Hast Du eine nackte Festplatte genommen und dann mit Veracrypt ein Laufwerk auf dem "device" erzeugt?
Du dürftest dann nur eine Partition erzeugt haben. Unter Truecrypt erzeugt ein Mount-Vorgang auch nur die Belegung eines Laufwerksbuchstaben.
Attingo.com schrieb:
Der nun wohl überschriebene VeraCrypt-Header am Beginn enthält die notwendigen Informationen zur Entschlüsselung der Daten. Wenn die Position der früheren verschlüsselten Partitionstabelle ebenfalls überschrieben wurde, aber die verschlüsselten Daten dahinter nicht alle überschrieben wurden (was bei genügend freiem Platz wahrscheinlich ist), stehen die Chancen gut notfalls zumindest mit entsprechenden Tools die Daten zu retten.
Ich fürchte hier irrt der Attingo-Mitarbeiter, weil er von einer "früheren verschlüsselten Partitionstabelle" spricht. Die gibt es auch und zwar bei der Systemvollverschlüsselung.
Ich kann das nicht mit Sicherheit sagen, aber bei der Variante "encrypt a non-system partition /drive" (so unter Truecrypt bezeichnet) ist gar keine Partitionstabelle erforderlich. Ich vermute, da ist auch keine!
Ergänzung ()
Pentagon schrieb:
Wenn du alle Vor- und Nachteile einer Verschlüsselung in Erwägung gezogen hast, dann hattest du dieses Szenario gewiss nicht auf dem Schirm!
Eine 6 TB als MBR zu konfigurieren, ist absoluter Irrsinn! Seit WIN XP (64) können NON-OS-Disks auf BIOS Computern als GPT initialisiert werden!
Doch. Alles was Du an lesbarer Struktur auf Deiner ehemaligen Veracrypt-Festplatte siehst, hat das edle Produkt von der Firma aus Seattle für Dich angelegt - wenn Du nicht gelogen hast.
Ergänzung ()
Marvolo schrieb:
Zudem wurde die Platte dann nach dem 2x Booten ausgebaut und liegt nun seither hier rum. Außerdem gehe ich nicht davon aus, dass Windows in die "nicht zugeordneten" Bereiche der Platte außerhalb der 50mb MBR schreiben würde, oder doch?
Hier behaupte ich, sieht es gut für Dich aus.
Der Grund warum Deine Veracrypt-Festplatte so vermurkst aussieht, liegt in einem Konfigurationsfehler Deines BIOS, bzw. dem Alter Deines Mainboards.
Microsoft benutzt die GPT-Partitionstabelle auf Startdatenträgern nur, wenn das BIOS im UEFI-Modus startet.
Quelle: Irgendeine alte Ausgabe der "c't - magazin für Computertechnik"!
Es gibt dafür keine technische Notwendigkeit - mit Linux wär das nicht passiert! 😎
Wenn Dein Mainboard kein UEFI kann oder die Bootmethode auf "CSM" (compatibility support module, alte BIOS-Emulation unter UEFI) steht, dann können auf der Betriebsystemfestplatte ("Startdatenträger") auch nur 2048 GB unterstützt werden.
Ich würde das Betriebssystem deswegen nur auf Festplatten bis 2 TB installieren - bei mir sind die Betriebssystemfestplatten in der Praxis aber alle kleiner. Bis zu dieser Größe funktioniert auch die komplette Nutzung der Festplatte unter der alten MBR-Partitionstabelle.
Ist ja auch nicht weiter relevant. An den werde ich mich, wenn dann, sowieso nicht wenden, falls ich nicht weiterkomme.
recu schrieb:
Ehrlich gesagt, würde ich eher von dem Schlimmsten ausgehen.
Der Gedanke daran ist aber unproduktiv. Natürlich sagt sich das für mich leicht bei einer fremden Festplatte!
Hast Du eine nackte Festplatte genommen und dann mit Veracrypt ein Laufwerk auf dem "device" erzeugt?
Du dürftest dann nur eine Partition erzeugt haben. Unter Truecrypt erzeugt ein Mount-Vorgang auch nur die Belegung eines Laufwerksbuchstaben.
Fabrikneue Festplatte ausgepackt, drangehängt und direkt verschlüsselt, ohne mit Windows vorher erst eine Partition etc. zu erstellen. Genau deswegen hat er sie immer als "un-initialisiert" in der Datenträgerverwaltung angezeigt. Mit VC wurde die gesamte Platte dann gemountet und als Laufwerk eingehängt.
recu schrieb:
Ich fürchte hier irrt der Attingo-Mitarbeiter, weil er von einer "früheren verschlüsselten Partitionstabelle" spricht. Die gibt es auch und zwar bei der Systemvollverschlüsselung.
Ich kann das nicht mit Sicherheit sagen, aber bei der Variante "encrypt a non-system partition /drive" (so unter Truecrypt bezeichnet) ist gar keine Partitionstabelle erforderlich. Ich vermute, da ist auch keine!
Das System ist von 2009 und nicht (mehr) mein Hauptssystem. Ein neues Hauptsystem stelle ich mir gerade zusammen. Das BIOS kann kein UEFI, deswegen wurde der Bootstick mit Rufus im CSM erstellt, weil GPT damit nicht booten würde.
Deswegen lief die Installation auch mit MBR und deswegen jetzt auch die fälschlicherweise auf die falsche Platte geschriebene 50mb-MBR-Partition.
recu schrieb:
Ich würde das Betriebssystem deswegen nur auf Festplatten bis 2 TB installieren - bei mir sind die Betriebssystemfestplatten in der Praxis aber alle kleiner.
Meine intendierte Zielplatte (SSD) waren 250GB. Dort befindet sich (siehe Screenshot im Ausgangspost) auch das meiste von Windows drauf. Nur die system-reserviert-Partition hat er eben aus irgendwelchen Gründen nicht auch noch da drauf gemacht, wo es eigentlich hin sollte, sondern auf die VeraCrypt-Platte, die ich leider vorher nicht getrennt hatte....
Speichert die HDD chronologisch nach Zeit? D.h. die ersten auf die Platte geschriebenen Daten sind demnach weiter vorne direkt nach dem Header und die jüngsten Daten weiter hinten? Dann hätte ich Glück.
Das kommt auf das genutzte Dateisystem im VeraCrypt-Laufwerk an. Bei NTFS bzw. ExFAT (unter Windows die wahrscheinlichsten Kandidaten) ist es so dass sie einigermaßen chronologisch vorgehen, bzw. den vordersten freien Speicherplatz nutzen. Wenn also selten gelöscht wird sind die neuesten Daten "hinten". Jedoch ist das Dateisystem (Ordnerstruktur, Dateinamen aber auch Runlist bei fragmentierten Dateien) meist ganz vorne.
Besser: Aller Daten.
Sonst fehlen später gerade die, die man nicht gesichert hat aber haben möchte. 😅
Anyway:
Ich habe beim ganzen Lesen immer die Frage: "Kein Backup gemacht? Wieso?" 🤷♂️
Das ist bei verschlüsselten Datenträger doch noch wichtiger als bei unverschlüsselten.
Ansonsten kann man sich den ganzen Kladderadatsch, der hier empfohlen wird sparen:
Wenn man ein VeraCrypt-Volume mit VeraCrypt nicht mehr mounten kann, dann kann man sich die Datenrettung komplett sparen. Es ist Zeitverschwendung. Die Daten sind weg.
Im Gegensatz zu BitLocker gibt es auch keine Datenrettungssoftware, die VeraCrypt von Haus aus - also ohne erfolgreiches Mounten via VeraCrypt kann.
Die HDD braucht man auch nicht zu klonen oder auszutauschen. Es ist ja kein Hardwaredefekt.
Ansonsten kann man sich den ganzen Kladderadatsch, der hier empfohlen wird sparen:
Wenn man ein VeraCrypt-Volume mit VeraCrypt nicht mehr mounten kann,
...dann repariert man es, im besten Fall mit dazugehörigem, externen Header & Key.
Nicht umsonst legt man sich ein Backup des internen Headers an, nicht umsonst hat VeraCrypt genau so eine Funktion bzw. so ein Notfallmeachnismus in ihr Programm eingefügt und nicht.........
mchawk777 schrieb:
dann kann man sich die Datenrettung komplett sparen. Es ist Zeitverschwendung. Die Daten sind weg.
........umsonst sagt auch Ontrack (nach einem Telefonat mit mir), dass auch sie der Meinung sind, dass sie in meinem Falle von einer Rettung der verschlüsselten Daten ausgehen, ich solle es aber erstmal mit Header-Rückspielen selbst versuchen, da dies im Grunde eigentlich die einzig zielführende Methode wäre. Was anderes machen dann auch die nicht... Wenn der Header nicht rekonstruiert werden könnte (d.h. wenn kein Backup des Headers vorhanden wäre, oder auf den internen Backup-Header, der sich am Ende der Platte befindet, nicht zugegriffen werden kann), dann wäre eine Entschlüsselung nicht mehr möglich, denn der Key zur Entschlüsselung liegt genau in diesem Header. Das Nutzerpasswort entschlüsselt den verschlüsselten Header - die darin befindlichen Keys entschlüsseln die Dateien.
mchawk777 schrieb:
Die HDD braucht man auch nicht zu klonen oder auszutauschen. Es ist ja kein Hardwaredefekt.
Die HDD klont man, um am Klon zu arbeiten und zu experimentieren und nicht am Original. Selbst jede Dorf-Spelunke von Datenrettungsdienstleistung arbeitet nie an Originalen, sondern immer an Images oder Klonen, von den großen Playern wie Ontrack ganz zu schweigen. Eigentlich sollte so ein Wissen selbstverständlich sein.
Nicht umsonst legt man sich ein Backup des internen Headers an, nicht umsonst hat VeraCrypt genau so eine Funktion bzw. so ein Notfallmeachnismus in ihr Programm eingefügt und nicht.........
Nicht umsonst legt man sich generell Backups an. 🤷♂️
Datei - oder Imagebackups.
Im Falle von VeraCrypt halt Imagebackups.
Geht eine Partition vor die Hunde - verschlüsselt oder nicht spielt - man halt das Image-Backup zurück. Fertig.
Wenn Du doch das betreffende Backup des "internen Headers" hast und weist, wie man es zurück spielt, macht Deine Frage keinen Sinn. Machen und gut ist. 🤷♂️
Weißt du denn sicher, dass der überschriebene Teil von Windows, der 50mb groß ist, genau jener Teil ist, in der ausgerechnet all jene Daten liegen, von denen ich leider kein Backup habe? Nein? Ich nämlich auch nicht... Mit etwas Glück trifft hier Beitrag #54 zu.
Bei einer Gesamtgröße von fast 6 TB an Daten sehe ich bei einem überschriebenen Bereich von gerade mal 50mb eine nicht ganz so unwahrscheinliche Chance, dass in diesen 50mb nichts lag, was ich vielleicht nicht eh schon habe...
Ich fürchte hier irrt der Attingo-Mitarbeiter, weil er von einer "früheren verschlüsselten Partitionstabelle" spricht. Die gibt es auch und zwar bei der Systemvollverschlüsselung.
Ich kann das nicht mit Sicherheit sagen, aber bei der Variante "encrypt a non-system partition /drive" (so unter Truecrypt bezeichnet) ist gar keine Partitionstabelle erforderlich. Ich vermute, da ist auch keine!
Fabrikneue Festplatte ausgepackt, drangehängt und direkt verschlüsselt, ohne mit Windows vorher erst eine Partition etc. zu erstellen. Genau deswegen hat er sie immer als "un-initialisiert" in der Datenträgerverwaltung angezeigt. Mit VC wurde die gesamte Platte dann gemountet und als Laufwerk eingehängt.
Verstehe ich technisch noch nicht so genau. Vielleicht kannst du es anders erklären. Irgendwo müssen die drauf gespeicherten Daten ja liegen...
Die gesamte Platte wurde gemountet und als Laufwerk eingehängt.
Die Entschlüsselung mit Truecrypt/Veracrypt macht aus der verschlüsselten Festplatte keine entschlüsselte Festplatte, sondern ein Laufwerk (Partition!), erkennbar an dem neuen Laufwerksbuchstaben z.B. im Explorer.
Wer bekommt unter Windows Laufwerkbuchstabe zugewiesen? Partitionen.
Und womit beginnt eine Partition? Typischerweise mit ihrem Bootsektor.
Die Partitionstabelle, die auf diese Partition zeigt, befindet sich immer weiter vorne auf der Festplatte.
Deine Spekulation, dass Deine 50 MB nicht bedeutsam sind angesichts einer Gesamtmenge von 6TB träfe nur zu, wenn alle 6TB gleich bedeutsam sind. In Wirklichkeit konzentrieren sich am Anfang der Festplatte Verwaltungsstrukturen, z.B. die MFT, die unter anderem Dateinamen, Ordnerstrukturen und Speicherorte für Dateien enthält. Die sind kriegsentscheidend - genauso wie der Reaktorgraben im ersten erschienenen "Star Wars"-Film. Ein Treffer hier ist vernichtend.
mchawk777 schrieb:
Besser: Aller Daten.
Sonst fehlen später gerade die, die man nicht gesichert hat aber haben möchte. 😅
Anyway:
Ich habe beim ganzen Lesen immer die Frage: "Kein Backup gemacht? Wieso?" 🤷♂️
Das ist bei verschlüsselten Datenträger doch noch wichtiger als bei unverschlüsselten.
Das ist einer von den unzähligen nicht zielführenden Kommentaren. Die Forenleitung sollte das Thema "Datenrettung" in einem eigenen Unterforum organisieren und die absurden hämischen und sadistischen Hinweise auf Backups rigoros löschen, weil in Beiträgen zur Datenrettung sinnlos sind. Mach t die Häme Spaß? Bandbreitenverschwendung!
mchawk777 schrieb:
Ansonsten kann man sich den ganzen Kladderadatsch, der hier empfohlen wird sparen:
Wenn man ein VeraCrypt-Volume mit VeraCrypt nicht mehr mounten kann, dann kann man sich die Datenrettung komplett sparen. Es ist Zeitverschwendung. Die Daten sind weg.
Deine Folgerung ist Unsinn - aber wie soll das auch jemand beurteilen können, der von jeder Datei ein Backup hat und selber niemals Daten retten musste?!
mchawk777 schrieb:
Im Gegensatz zu BitLocker gibt es auch keine Datenrettungssoftware, die VeraCrypt von Haus aus - also ohne erfolgreiches Mounten via VeraCrypt kann.
Das ist wieder ein Kommentar von der Insel der Ahnungslosigkeit.
Die Unterstützung gängiger Verschlüsselungsverfahren durch Datenrettungssoftware ist eine reine Komfortfunktion. Genauso gut kann man auch lamentierten, dass gängige Datenrettungssoftware nicht über die Eigenschaften von ddrescue verfügt.
mchawk777 schrieb:
Die HDD braucht man auch nicht zu klonen oder auszutauschen. Es ist ja kein Hardwaredefekt.
Professionelle Vorgehensweise bedeutet, irrtümliche Schreibvorgänge als Folgefehler auszuschließen. Deswegen ist auch bei logischer Datenrettung die Erstellung eines Klons immer sinnvoll.
Attingo.com schrieb:
Das kommt auf das genutzte Dateisystem im VeraCrypt-Laufwerk an. Bei NTFS bzw. ExFAT (unter Windows die wahrscheinlichsten Kandidaten) ist es so dass sie einigermaßen chronologisch vorgehen, bzw. den vordersten freien Speicherplatz nutzen. Wenn also selten gelöscht wird sind die neuesten Daten "hinten". Jedoch ist das Dateisystem (Ordnerstruktur, Dateinamen aber auch Runlist bei fragmentierten Dateien) meist ganz vorne.
