ComputerBase Menü
Aktuelles

Windows-Setup-Assistent ruiniert VeraCrypt-verschlüsselte HDD - Noch was zu retten?

Marvolo schrieb:
@redjack1000 Auch innerhalb Cloncilla oder ddrescue? Was ich da bisher in Tutorials gesehen habe, steht da meist nicht die Seriennummer, sondern so Sachen wie /dev/sda1.
Zum Vergrößern anklicken....

Clonezilla ist kein Datenrettungstool. Du wirst das merken, wenn wieder Erwarten mal viele Sektoren nicht lesbare sein sollten.

Bei zwei identischen Festplattenmodellen muss man natürlich ausgeschlafen und vorsichtig sein, wenn man klont.

Die Zuordnung von Festplatten zum Gerätenamen kriegst Du über hdparm oder TestDisk heraus:

https://www.computerbase.de/forum/t...cht-mehr-erkannt-win-10.2132442/post-27931526

Idealerweise hast Du schon jetzt Deine vermurkste Veracrypt-Festplatte idiotensicher (das Adjektiv bezieht sich auf mich!) mit einem Aufkleber gekennzeichnet.

Und Üben solltest Du auch schon vorher.
Ergänzung ()

Evil E-Lex schrieb:
Du hast doch vor gar nicht allzulanger Zeit hier einen anderen Thread gehabt. Dort steht unter anderem dieser Beitrag von mir. Die Seriennummer kannst du dir per lsblk samt passender Parameter anzeigen lassen.
Zum Vergrößern anklicken....

Guter Hinweis, den Weg über lsblk hatte ich nicht oder nicht mehr auf dem Schirm!
 
  • Gefällt mir
Reaktionen: redjack1000 und Marvolo
recu schrieb:
Clonezilla ist kein Datenrettungstool. Du wirst das merken, wenn wieder Erwarten mal viele Sektoren nicht lesbare sein sollten.
Zum Vergrößern anklicken....

Welches Tool empfiehlst du für's reine Klonen? Zuerst geht's jetzt mal ans Klonen. Ob danach dann noch Datenrettungen notwendig sind, wird sich zeigen.
 
@Marvolo Du hast meine Beiträge leider ein bisschen oberflächlich gelesen - schau' noch mal genau hin.
 
  • Gefällt mir
Reaktionen: redjack1000
Marvolo schrieb:
Weißt du denn sicher, dass der überschriebene Teil von Windows, der 50mb groß ist, genau jener Teil ist, in der ausgerechnet all jene Daten liegen, von denen ich leider kein Backup habe? Nein? Ich nämlich auch nicht... Mit etwas Glück trifft hier Beitrag #54 zu.

Bei einer Gesamtgröße von fast 6 TB an Daten sehe ich bei einem überschriebenen Bereich von gerade mal 50mb eine nicht ganz so unwahrscheinliche Chance, dass in diesen 50mb nichts lag, was ich vielleicht nicht eh schon habe...
Zum Vergrößern anklicken....
Nö. Natürlich nicht. Ist bzw. war ja ein verschlüsseltes Volume... Wenn jemand wüsste was darin stand,dann wäre die Verschlüsselung ja sinnlos... Kannst ja mal gucken, was Veracrypt in dem Bereich so macht, ist doch Open-Source, oder? =:)
 
BFF schrieb:
Allerdings sind bei Dir 50MB geschrieben und zwei weitere Partitionen wohl angelegt
Zum Vergrößern anklicken....

Es sind keine Partitionen. Alles hinter System-reserviert ist nicht zugeordneter Speicherplatz. Diese eine Trennlinie zwischen nutzbar und nicht nutzbar verschwindet sofort, wenn die Initialisierung beseitigt wird. Die Trennlinie besagt im Übrigen auch, dass jenseits von 2048 GB ganz sicher nichts geschrieben wurde. Auf einem 2 TB oder weniger großen Datenträger würde man überhaupt nichts sehen. Siehe auch

Konvertieren eines MBR-Datenträgers zu GPT
 
  • Gefällt mir
Reaktionen: Marvolo und recu
Du hast Marvolo nicht verstanden. Bezogen auf 6 TB Nutzdaten (in der Praxis ist es natürlich wegen des Verwaltungswasserkopf durch das Dateisystem ein bisschen weniger) sind 50 MB gerade mal 8,3 ppm (parts per million) also kein Anlass, sich überhaupt Sorgen zu machen. Wer die Beschriftung von Marvolos Bildern lesen kann, weiß, dass nur 30 MB geschrieben worden sind.

Es gibt aber auch kritische Metadaten. Gehen die verloren ist der Rest der Daten zwar noch da, aber eventuell unbrauchbar. Zum jetzigen Zeitpunkt weiß Marvolo noch nicht, welche Sektoren vom Schreiben der 30 MB betroffen sind.

Ein wirklich guter logischer Datenretter könnte nach Analyse der "system reserved partition" sagen, ob die dort enthaltenen Datei die MFT (bei Formatierung als NTFS) in Gänze oder in Teilen überschrieben hat.
 
recu schrieb:
Es gibt aber auch kritische Metadaten. Gehen die verloren ist der Rest der Daten zwar noch da, aber eventuell unbrauchbar.
Zum Vergrößern anklicken....

Ganz sicher? Selbst wenn die MFT und/oder Partitionstabelle weg wäre, müsste man doch mit (guter) Datenrettungssoftware die Daten wieder finden & herstellen können, oder nicht? Natürlich geht das erst dann, sobald die Platte gemountet / entschlüsselt ist, deswegen ist die Header-Reparatur das erste und wichtigste Unterfangen.

Wie die Platte nach der Header-Reparatur aussieht bzw. sich offenbart, weiß ich nicht. Im besten Fall natürlich so, dass die ganzen Dateien, Ordnerstrukturen und Dateinamen so da sind wie zuvor. Aber selbst wenn nicht, hab ich auch kein Problem damit, die Daten über Datenrettungssoftware zu bekommen, dann eben kryptisch benannt und nicht mehr in den jeweiligen Ordnerstrukturen.

Da ich hier nur nach ganz bestimmten (wenigen) wichtigen Daten suche und der Großteil aufgrund von Backup-Kopien eh nicht relevant ist, nehme ich auch in Kauf, wenn die Daten nicht mehr so heißen, wie zuvor und nicht mehr in den jeweiligen Unterordnern sitzen. Das lässt sich alles wieder rekonstruieren. Wichtig ist nur, dass die Datei selbst da ist und nutzbar.
 
Marvolo schrieb:
Selbst wenn die MFT und/oder Partitionstabelle weg wäre, müsste man doch mit (guter) Datenrettungssoftware die Daten wieder finden & herstellen können, oder nicht?
Zum Vergrößern anklicken....
Die Chance besteht. Allerdings nur ohne Dateinamen und Verzeichnisstruktur.
Ergänzung ()

Marvolo schrieb:
Da ich hier nur nach ganz bestimmten (wenigen) wichtigen Daten suche und der Großteil aufgrund von Backup-Kopien eh nicht relevant ist, nehme ich auch in Kauf, wenn die Daten nicht mehr so heißen, wie zuvor und nicht mehr in den jeweiligen Unterordnern sitzen. Das lässt sich alles wieder rekonstruieren. Wichtig ist nur, dass die Datei selbst da ist und nutzbar.
Zum Vergrößern anklicken....
Um welche Dateitypen handelt es sich?
 
  • Gefällt mir
Reaktionen: recu
@Evil E-Lex Die E-Mails von meinem Vater, die ich ihm auf den PC auslagern wollte, damit GMX Online wieder mehr Speicher hat, sind mittels Outlook als *pst-Dateien in einem Ordner namens "Papa" abgespeichert gewesen. Die braucht er teils für die Steuer, da sind Rechnungen drin etc aus dem Jahr 2023...

Daneben gibt es von mir selbst einige wichtige Dateien, hauptsächlich *mp4 und *jpg.

Jetzt merke ich gerade: schlecht wäre es nicht, wenn die originale Verzeichnisstruktur noch da wäre. Ob ich alle Unterordner aus dem Kopf heraus noch so hinbekomme, wird sich zeigen. Besser wäre, wenn die Verzeichnisstruktur noch da wäre und alles in den Unterordnern wäre. Dateinamen selber sind nicht tragisch, die kann ich auch wieder umbenennen.

Der große Rest sind aber Backup-Dateien, die ich alle samt Struktur so 1:1 auch auf einer anderen (nicht verschlüsselten) Platte habe.

Im Grunde sind von den 4TB (die Platte war ja nicht bis zum Anschlag voll geschrieben) eigentlich so ca. 300 GB wichtige Daten, eben die PST-Emails, ein paar Bilder und Videos.

NACHTRAG:
Je mehr ich zu VeraCrypt recherchiere, desto mehr wird klar, dass ich eigentlich auch ohne externes Backup des Headers den internen Header reparieren könnte.
VC speichert nämlich auf dem Volume selber eine Kopie des Anfangsheaders, nämlich irgendwo in der Mitte des Laufwerks und am Ende.

Man könnte in VC nun einfach den Anfangsheader mithilfe des Mittel- oder End-Headers wiederherstellen lassen.
Zudem habe ich ja aber noch eine externe Fassung als Datei abgespeichert. Vielleicht würde die Platte schon nach einem Klick in VeraCrypt wieder gehen, aber ich trau mich da jetzt nicht rumzutesten. Deswegen warte ich halt, bis die Klon-Platte ankommt.

Ebenfalls bin ich am Überlegen, ob es sinnvoller wäre, nach (hoffentlich) erfolgreicher Entschlüsselung durch VC die gesamte Platte entschlüsseln zu lassen mit VC, sodass ich nicht mehr auf ein gemountetes Volume angewiesen bin, sondern die Daten am Ende dann unverschlüsselt ganz normal auf der Platte liegen.

Das wird dann wohl auch für Datenrettungssoftware-Tools einfacher sein, als über ein virtuell-gemountetes Laufwerk zugreifen zu müssen.

Ich glaube, so mach ich das. Sobald der Header repariert ist und VC das Laufwerk freigibt, lass ich das gesamte Laufwerk von VC dauerhaft entschlüsseln (bzw. hebe die Verschlüsselung dauerhaft auf) und arbeite dann mit dem entschlüsselten Zustand weiter.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Evil E-Lex
Marvolo schrieb:
Daneben gibt es von mir selbst einige wichtige Dateien, hauptsächlich *mp4 und *jpg.
Zum Vergrößern anklicken....
Okay. Also MP4, JPEG und PST. Also nichts exotisches. Das ist schonmal gut. Sollte grundsätzlich mit PhotoRec machbar sein.
Marvolo schrieb:
Jetzt merke ich gerade: schlecht wäre es nicht, wenn die originale Verzeichnisstruktur noch da wäre.
Zum Vergrößern anklicken....
Dein großes Glück ist, das sowohl die Partitionstabelle (GPT), und VeraCrypt Backups ihrer jeweiligen Verwaltungsstrukturdaten am Ende des Datenträgers ablegen. Da besteht durchaus die Chance, die Daten wieder lesbar zu machen, allerdings ohne Verzeichnisstruktur, die ist verloren.
Marvolo schrieb:
VC speichert nämlich auf dem Volume selber eine Kopie des Anfangsheaders, nämlich irgendwo in der Mitte des Laufwerks und am Ende.
Zum Vergrößern anklicken....
Das ist korrekt.
Marvolo schrieb:
Man könnte in VC nun einfach den Anfangsheader mithilfe des Mittel- oder End-Headers wiederherstellen lassen.
Zudem habe ich ja aber noch eine externe Fassung als Datei abgespeichert. Vielleicht würde die Platte schon nach einem Klick in VeraCrypt wieder gehen, aber ich trau mich da jetzt nicht rumzutesten. Deswegen warte ich halt, bis die Klon-Platte ankommt.
Zum Vergrößern anklicken....
Gute Entscheidung. Wichtig: Nach dem Klonen nur mit dem Klon arbeiten und das Original beiseite legen.
Marvolo schrieb:
Ebenfalls bin ich am Überlegen, ob es sinnvoller wäre, nach (hoffentlich) erfolgreicher Entschlüsselung durch VC die gesamte Platte entschlüsseln zu lassen mit VC, sodass ich nicht mehr auf ein gemountetes Volume angewiesen bin, sondern die Daten am Ende dann unverschlüsselt ganz normal auf der Platte liegen.
Zum Vergrößern anklicken....
Wenn du den Klon hast, ist das der richtige Weg. Bedenke aber, dass auch nach erfolgreicher Entschlüsselung wahrscheinlich kein funktionierendes Dateisystem sichtbar sein wird.
Marvolo schrieb:
Das wird dann wohl auch für Datenrettungssoftware-Tools einfacher sein, als über ein virtuell-gemountetes Laufwerk zugreifen zu müssen.
Zum Vergrößern anklicken....
Ja, das ist bei den meisten Tools einfacher.
Marvolo schrieb:
Ich glaube, so mach ich das. Sobald der Header repariert ist und VC das Laufwerk freigibt, lass ich das gesamte Laufwerk von VC dauerhaft entschlüsseln (bzw. hebe die Verschlüsselung dauerhaft auf) und arbeite dann mit dem entschlüsselten Zustand weiter.
Zum Vergrößern anklicken....
Auf jeden Fall.
 
Zuletzt bearbeitet: (Stuss entfernt.)
  • Gefällt mir
Reaktionen: Marvolo
Evil E-Lex schrieb:
Okay. Also MP4, JPEG und PST. Also nichts exotisches. Das ist schonmal gut. Sollte grundsätzlich mit PhotoRec machbar sein.

Dein großes Glück ist, das sowohl die Partitionstabelle (GPT), das Dateisystem (NTFS nehme ich an) und VeraCrypt Backups ihrer jeweiligen Verwaltungsstrukturdaten am Ende des Datenträgers ablegen. Da besteht durchaus die Chance, die Daten wieder lesbar zu machen.
Zum Vergrößern anklicken....

Nein. Nur ein Bruchteil der Metadaten wird unter NTFS gesichert.

Evil E-Lex schrieb:
Das ist korrekt.

Gute Entscheidung. Wichtig: Nach dem Klonen nur mit dem Klon arbeiten und das Original beiseite legen.

Wenn du den Klon hast, ist das der richtige Weg. Bedenke aber, dass auch nach erfolgreicher Entschlüsselung wahrscheinlich kein funktionierendes Dateisystem sichtbar sein wird. Du wirst dazu auch den NTFS-Header und die MFT aus den Backups wiederherstellen müssen. TestDisk kann das.
Zum Vergrößern anklicken....

Nein, es gibt kein "Backup" der MFT. Und eine zerstörte MFT kann auch TestDisk nicht herzaubern, lediglich einen bestimmten kleinen Schaden beheben.
 
  • Gefällt mir
Reaktionen: Evil E-Lex
Ich halte euch auf dem Laufenden. Morgen soll hoffentlich die Klon-HDD ankommen, dann geht's los...

Ich bin immer noch nicht sicher, mit was ich klonen soll, damit es für einen absoluten Laien (ich mache das zum ersten Mal) reibungslos ohne Probleme klappt. Macht es einen Unterschied innerhalb von Windows mit irgendwelcher Software, z.B. HDclone oder True Image etc. zu klonen, oder außerhalb eines aktiven Windows, z.B. in einer Live-Linux-Umgebung vom Bootstick?

Ebenfalls stellt sich die Frage: ich gehe davon aus, dass vielleicht nicht alles direkt beim ersten Versuch klappen wird. Damit ich jetzt aber nicht jedes Mal das Original erneut auf die Klon-HDD klonen muss, um nach einer Murkserei wieder von Vorne anfangen zu können - gibt es eine Möglichkeit, so zu klonen, dass das Original irgendwo zwischengespeichert wird, vielleicht als Image-Datei, damit ich von da dann immer wieder neu auf den Klon zurückspielen kann, falls dies notwendig werden wird?

Die originale Platte möchte ich nur ein einziges Mal dranhängen, um davon eine 1:1-Kopie herzustellen. Bestenfalls als Image oder ähnliches um davon dann bei Bedarf wieder den Klon zurücksetzen zu können, falls ich irgendwas am Klon vermurkst habe...

Oder geht das 1:1 Klonen nur direkt von Quell-HDD auf Ziel-HDD ohne Zwischenspeicher als Image?
 
recu schrieb:
Nein, es gibt kein "Backup" der MFT. Und eine zerstörte MFT kann auch TestDisk nicht herzaubern, lediglich einen bestimmten kleinen Schaden beheben.
Zum Vergrößern anklicken....
Du hast vollkommen recht. Ich bin da im Hirn irgendwie falsch abgebogen. Der MFT Mirror enthält nur die ersten Einträge der MFT selbst und kann daher nur diese wiederherstellen. Ist die MFT komplett überschrieben, kann man keine Verzeichnisstrukturen wiederherstellen.
 
  • Gefällt mir
Reaktionen: recu
@Evil E-Lex Groß war mein Entsetzen, als ich lernen musste, dass bei meiner anformatierten Festplatte der MFT Mirror kein Duplikat der Master File Table war, wie ich in einem Anflug positiven Denkens glaubte!

Vorher: 😀
Nachher:

:heul::freak::pcangry:🥸😒😰😱
 
Marvolo schrieb:
Ich bin immer noch nicht sicher, mit was ich klonen soll, damit es für einen absoluten Laien (ich mache das zum ersten Mal) reibungslos ohne Probleme klappt. Macht es einen Unterschied innerhalb von Windows mit irgendwelcher Software, z.B. HDclone oder True Image etc. zu klonen, oder außerhalb eines aktiven Windows, z.B. in einer Live-Linux-Umgebung vom Bootstick?
Zum Vergrößern anklicken....
Solange die Quellplatte hardwaremäßig in Ordnung ist, ist das verwendete Tool egal. Wichtig ist nur, dass du 1:1 (auch Sektor-für-Sektor genannt) klonst.
Marvolo schrieb:
Ebenfalls stellt sich die Frage: ich gehe davon aus, dass vielleicht nicht alles direkt beim ersten Versuch klappen wird. Damit ich jetzt aber nicht jedes Mal das Original erneut auf die Klon-HDD klonen muss, um nach einer Murkserei wieder von Vorne anfangen zu können - gibt es eine Möglichkeit, so zu klonen, dass das Original irgendwo zwischengespeichert wird, vielleicht als Image-Datei, damit ich von da dann immer wieder neu auf den Klon zurückspielen kann, falls dies notwendig werden wird?
Zum Vergrößern anklicken....
Die Imagedatei wäre halt so groß wie die originale Platte. Wenn du den Platz hast, kannst du ein Image anlegen.

Marvolo schrieb:
Oder geht das 1:1 Klonen nur direkt von Quell-HDD auf Ziel-HDD ohne Zwischenspeicher als Image?
Zum Vergrößern anklicken....
Nein, natürlich nicht. Wichtig ist nur, dass immer 1:1 gearbeitet wird.
 
Evil E-Lex schrieb:
Solange die Quellplatte hardwaremäßig in Ordnung ist, ist das verwendete Tool egal.
Zum Vergrößern anklicken....

Die Platte wurde im August fabrikneu gekauft und ist noch nie mit irgendwelchen Erschütterungen, Stößen, etc. in Kontakt gekommen. Ich gehe schwer davon aus, dass sie hardwaremäßig noch 1A ist.
 
  • Gefällt mir
Reaktionen: Evil E-Lex
Evil E-Lex schrieb:
Ist die MFT komplett überschrieben, kann man keine Verzeichnisstrukturen wiederherstellen.
Zum Vergrößern anklicken....

Wie ist das eigentlich mit dem "Überschreiben"... Überschrieben heißt im Jahr 2024 unwiderbringlich verloren - selbst für die besten Datenrettungs-Player unmöglich das Vorherige wiederherzustellen?
 
So ist es. Überschriebene Daten können nicht wiederhergestellt werden. Wenn du z.B. 0xFF mit 0x00 überschreibst, wirst du nie feststellen können, was vorher anstelle von 0x00 dort stand. Okay, bei bestimmten Dateitypen geht sowas schon, wenn nur Teilbereiche überschrieben wurden, wie beispielsweise der Header einer Datei.
Aber wenn du eine Datei wie z.B. die $MFT komplett mit anderen Daten überschreibst, dann war es das für die Ursprungsdatei.
 
Warum gibt es dann diese ganzen bestimmten "Lösch-Standards" á la 3x, 5x, 7x, 36x überschreiben bzw. sogar Festplatten-Shredder, wo Laufwerke physisch zerstört werden, wenn es im Grunde doch ausreicht, einfach alles per (langsamer) Formatierung zu löschen?
 
@Marvolo Bei einer Formatierung wird der Datenträger an sich nur "zurückgesetzt". Die Daten darauf werden gelöscht, sind für den Nutzer also nicht mehr sichtbar. Im Hintergrund sind die Daten aber noch vorhanden und können mit spezieller Software wiederhergestellt werden. Ein sicheres Löschen ist nur durch Überschreibung möglich (die Gutmann-Methode empfiehlt 35 Überschreibungen) oder eben durch physisches
zerstören.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz