ComputerBase Menü
Aktuelles

Truecrypt hidden volume nicht mehr zugänglich

S

Stavanger

Cadet 1st Year
Registriert
Aug. 2014
Beiträge
12
Hallo, ich suche nun schon alleweile nach einer Lösung für mein Problem, bin aber schon über die Ursache im Unklaren, vielleicht hat ja jemand eine Idee.

System: Win7 ultimate 64bit
Neben der Systemplatte gibt es eine weitere Platte, die in drei Partitionen unterteilt sind. Alle Partitionen sind mit Truecrypt verschlüsselt. Es gibt jeweils ein outer volume und ein hidden volume.

Neulich ist im laufenden Betrieb die Platte komplett aus dem Windows System "verschwunden". Alle drei hidden volumes waren im Betrieb gemountet.

Nach Rechnerneustart erkennt Windows die Platte ganz normal. Ich kann die hidden volumes aber nicht mounten. (kein TC Volume oder pw falsch)

Die outer volumes hingegen lassen sich mit ihren Passwörtern mounten.

Hat irgendwer eine Idee, ob und wie ich an die Daten nochmal herankomme?

Passwörter stimmen definitiv - Headersicherung habe ich keine. Es gab nach dem Neustart bis jetzt keine Versuche an der Platte irgend etwas zu machen (chkdsk oder sowas)

Danke schon mal für die Hilfe

Stav
 
Mit welcher TrueCrypt Version wurden die Volumes erstellt? Kannst du mal TestCrypt mit Passwort für das normale Volume und anschließend mit dem Passwort für das Hidden-Volume analysieren lassen: wähle bei jeder Partition "Automatic" für "Begin of Partition" und "End of Partition" und zusätzlich "Automatic" für "Begin of Volume" und "End of Volume".
 
Truecrypt Version ist 7.1a
Testcrypt bekomme ich auf diesem System nicht zum laufen. Da fehlen irgendwelche c++ dateien. Ich baue die Platte heute abend mal aus und stecke sie an einen anderen Rechner. Da sollte Testcrypt laufen, wenn ich das mit den Treibersignaturen unter Win7 64 hinbekomme.
Dann werde ich das probieren, wobei mir immer noch ziemlich schleierhaft ist, was Testcrypt da macht.

Was ich auch nicht verstehe ist, nutzt Truecrypt für die inner volumes andere Header als für die outer volumes? Die äußeren lassen sich ja mounten.
 
Stavanger schrieb:
Truecrypt Version ist 7.1a
Zum Vergrößern anklicken....
Stavanger schrieb:
Was ich auch nicht verstehe ist, nutzt Truecrypt für die inner volumes andere Header als für die outer volumes? Die äußeren lassen sich ja mounten.
Zum Vergrößern anklicken....
Bis Version 6 von TrueCrypt war der Header für normale Volumes am Beginn der Partition und der Header für Hidden Volumes am Ende der Partition - seit TrueCrypt 6 sind beide Header sowohl am Beginn der Partition als auch am Ende der Partition vorhanden. Wenn die Volumes mit 7.1a verschlüsselt wurden, so ist dein Problem schwer zu erklären. Hast du das Passwort beim Eintippen schon mal anzeigen lassen: ich hatte auch schon Fälle, da hat sich nur das Tastatur-Eingabeschema für TrueCrypt verstellt. Wegen dem Problem mit TestCrypt: hast du das Microsoft Visual C++ 2010 Redistributable Package (x86) installiert? Das Deaktivieren der Treibersignatur wäre zum Suchen nach TrueCrypt Headern noch nicht nötig - erst wenn diese in TestCrypt gemountet werden sollen, dann darf die Treibersignatur nicht aktiv sein.
 
Hast du schon versucht ob es mit dem integrierten Backup Header funktioniert? (Mount Options -> Use backup header ...)
 
so... also Testcrypt bestätigt eigentlich das, was ich von Hand auch schon festgestellt habe:

- outer volume wird gefunden
- inner volume wird nicht gefunden

In den Windows Ereignisprotokollen habe ich auch noch mal gesucht, wieso die Platte sich irgendwie abmelden konnte. Da sind NTFS Fehler zu sehen.

Die Wiederherstellung mit den integrierten Backup Headern funktioniert nicht.

Es scheint als ob das nix mehr wird und ich habe gelernt, dass man die Header außerhalb sichern sollte.

Obwohl ich mir nicht sicher bin, ob sich die Daten damit wieder hätten herstellen lassen, wenn Windows irgendwie mit dem Controller und NTFS Probleme hatte.

Alles fing an mit :
"Das Gerät \Device\Harddisk0\DR2 ist für den Zugriff noch nicht bereit"

"Die Daten konnten nicht in das Transaktionsprotokoll verschoben werden. Die Daten sind möglicherweise beschädigt."

"Auf dem Volume "F:" konnte der Transaktionsressourcen-Manager aufgrund eines nicht wiederholbaren Fehlers nicht gestartet werden. Der Fehlercode ist in den Daten enthalten."

Das ging dann durch alle drei gemounteten Partitionen.

Die Platte war danach für Windows nicht mehr sichtbar. Nach Systemneustart war sie wieder da, aber offensichtlich mit zerschossenen hidden volumes.

Mir fällt nix mehr ein....
 
hier der Sceenshot, das ist alles, was angezeigt wird:

tc-png.436523


dennoch, alle drei äußeren volumes lassen sich mounten:

tc2-png.436522


Physisch hat die Platte 3TB partioniert in je ca. 1TB.
 

Anhänge

  • tc2.png
    tc2.png
    5,9 KB · Aufrufe: 630
  • tc.png
    tc.png
    34 KB · Aufrufe: 626
Ich kann es mir beim besten Willen nicht vorstellen, wie 6(!) TrueCrypt Header auf einmal kaputt gehen können und mindestens 4 normale Header in unmittelbarer Nachbarschaft überlebt haben - das passt in keine Statistik. Zumindest der gefundene Header ist im neuen Format, welches erst seit TrueCrypt 6 verwendet wird: damit sollten wohl auch allen anderen Header in diesem Format sein. Ich kann mir nur ein Problem mit verstellten Tastaturlayout bzw. veränderten Keyfiles (falls vorhanden) vorstellen, alles andere klingt für mich unrealistisch.
 
...mal blöd gefragt, wenn Du angenommen recht hättest, mit dem Tastaurlayout und dem Keyfile, hätte dann nicht Testcrypt wenigstens drei Partitionen (äußere) finden müssen? Zumal die ja funktionieren und identische Passwörter haben.

Aber ich kann das eigentlich ausschließen. Die Platte hängt jetzt an einer anderen Maschine auf der ebenfalls ein TC Laufwerk vorhanden ist. PW und Keyfile sind identisch und dieses Laufwerk ist problemlos zu mounten.

Ich habe mich mental schon von den Daten verabschiedet, aber was mich wuschig macht, ist, dass ich den Grund nicht kenne und der Mist nach Neuerstellen irgendwann über Nacht wieder platt ist.
Dieses Mal werde ich die Header zwar extern sichern, aber ob die Wiederherstellung dann klappt, dass wird erst die Praxis zeigen, wenn das Problem nochmal auftritt.
 
Die HDD ist aufgrund der 3 TB wahrscheinlich mit GPT initialisiert: die veröffentlichte Version von TestCrypt kann damit nicht wirklich umgehen und daher wird nur das Ende der HDD korrekt analysiert: Zwei weitere Header sollten mit folgendem Bereich im "Custom Analyzer" gefunden werden:
241338/1/1 - 241341/1/1
 
dankeschön - mit diesen Angaben fanden sich tatsächlich noch zwei header

tc4-png.436738


...das lässt mich irgendwie hoffen, dass sich die andern drei auch noch finden lassen. Ich hab nur leider seeehr wenig Ahnung von der Materie.
 

Anhänge

  • tc4.png
    tc4.png
    29,5 KB · Aufrufe: 586
Weitere zwei Header solltest du mit folgendem Bereich bekommen - allerdings bringt die Sammlung an normalen Headern wenig, wenn die Daten in den Hidden Volumes liegen (ich würde jedoch weiterhin eine Beschädigung der Hidden-Volume Header ausschließen, da diese jeweils 128 KB hinter dem normalen Header liegen und diese ja scheinbar alle in Ordnung sind):
121504/1/1 - 121507/1/1
 
..ich denke (statistisch gesehen) ebenso...

Und die Sammlung normaler header ist eigentlich im Moment nur dazu da, zu verstehen, wie das überhaupt funkioniert.

Mir ist völlig schleierhaft woher die von Dir genannten Bereiche kommen.

Und ebenso schleierhaft ist mir wo ich nach den headern der hidden volumes suchen müsste..
 
Ich hangle mich einfach vom Ende der HDD zum Beginn: dein erster gefundener Header liegt am Ende der letzten Partition und über diesen Header kann man die Größe der Partition erkennen. Dadurch kann man im nächsten Schritt am Anfang der Partition (und ein bisschen davor, damit man auch den Backup-Header der vorherigen Partition findet) suchen, um die nächsten beiden Header zu finden. Das gleiche Spiel kann man anschließend wiederholen um auch den Header am Anfang der zweiten Partition und anschließend den Header am Anfang der ersten Partition zu finden. Da die Hidden-Volume Header 64 KB (die 128 KB im letzten Post waren falsch) hinter den normalen Headern liegen, sollten meine angegebenen Bereiche auch die Hidden-Volume Header beinhalten. Wie war das Passwort für die Hidden Volumes aufgebaut: nur Passwort, nur Keyfile, Passwort mit einfachen Keyfile, Passwort mit mehreren Keyfiles bzw. Ordner als Keyfile?
 
..so ganz hab ichs noch nicht kapiert... aber ich arbeite dran :-)

3TB Platte GPT
partitioniert in 3 Partitionen
ca. 930 GB
ca. 917 GB
ca. 945 GB
PWs identisch - PW + ein Keyfile
 
Du hast auch das (identische) Keyfile vom anderen Rechner schon mal probiert? Ansonsten kannst du noch einen Test machen, aktivier mal den Haken in TestCrypt bei "Use US-Layout" vor dem Eintippen des Passworts: für einige Funktionen in TrueCrypt z.B. automatisches Einbinden von Favoriten-Laufwerken musste das Passwort nämlich im US-Layout eingetippt werden. Ansonsten habe ich eigentlich auch keine weiteren Ideen, wodurch es zu diesem Datenverlust kam.
 
..ja.. das keyfile habe ich von einer anderen Quelle genommen - das funktioniert - Veränderung kann ich ausschließen.

Das eintippen im US Layout habe ich auch versucht, ergebnislos. Hätte aber dennoch sein können, da tatsächlich Zeichen im Passwort waren, die im US-Layout wo anders sitzen.

Ich muss nochmal richtig blöd fragen, die Bereiche, die Du angibst, sind das KB und was bedeuten die /1/1 dahinter.
Sag ja.. ich bin zu blöd für sowas... bin halt "nur" Anwender.

Kannst Du ausgehend von meinen Daten nochmal versuchen die drei Bereiche, in denen die hidden header liegen müssten, einzugrenzen?

Wenn das dann nix bringt mach ich die Platte platt... ist schade um die Daten, ist nichts unwiederbringliches drauf, aber viel Downloadzeit :-)
 
Die Bereiche waren großzügig gewählt, so dass sowohl der Header für das normale Volume als auch der Header für das Hilden Volume innerhalb liegen. Daher kannst du die bereits geschriebenen Bereiche verwenden:
121504/1/1 - 121507/1/1
241338/1/1 - 241341/1/1

Für den dritten Bereich benötige ich noch die normalen Header, welche im Bereich 121504/1/1 - 121507/1/1 gefunden wurden.

Stavanger schrieb:
Ich muss nochmal richtig blöd fragen, die Bereiche, die Du angibst, sind das KB und was bedeuten die /1/1 dahinter.
Zum Vergrößern anklicken....
Die Bereichsangaben sind in C(ylinder)/H(ead)/S(ector) - eine mittlerweile recht antike Art der Festplattenadressierung. Die Umrechnung von KB in C/H/S ist leider nicht ganz trivial.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

J
Veracrypt outer volume Grösse kann nicht geändert werden
Antworten
6
Aufrufe
2.202
john887
J
P
VeraCrypt - Laufwerk / Volume wird nicht mehr erkannt
Antworten
19
Aufrufe
4.952
el.com
el.com
F
Mac startet nicht mehr über externe SSD (Thunderbolt), nur noch über interne HDD
Antworten
2
Aufrufe
1.078
Fischy33
F
P
eines von zwei Truecrypt-Volumes wird nicht mehr erkannt
Antworten
18
Aufrufe
2.775
Harti2011
H
C
Truecrypt HDD mountet nicht
2
Antworten
27
Aufrufe
3.313
S K Y N E T
S K Y N E T

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz