Truecrypt Containerdatei retten

Darknemi · 27. Januar 2011

Hallo!

Folgendes Problem:
Ich habe auf einer externen Festplatte mittels Truecrypt eine verschlüsselte Containerdatei mit 500 GB erstellt (AES).

Nach dem sich der PC zwei mal aufgehängt hatte, waren zunächst die Dateien im Container noch sichtbar, ließen sich aber nicht mehr öffnen.

Irgendwie wurde dann chdisk gestartet und anschließend ließ sich die Containerdatei nicht mehr mounten. Als ich noch einmal chdisk gestartet habe (was wohl von Anfang an ein Fehler war, ich weiß..) wurde die Datei jetzt nur noch mit 0 Byte angezeigt und lässt sich natürlich immer noch nicht mounten.

Ich habe bereits viele Beiträge durchforstet und einige Programme getestet, aber nichts hat geholfen oder richtig auf mein Problem zugetroffen.

Nun die Frage:
Was kann ich noch versuchen?
Ist die Containerdatei irgendwie noch zu retten?

Ich kann gerne weitere Infos liefern oder Screenshots von Diagnose Programmen reinstellen.

Ich wäre überglücklich wenn mir jemand helfen könnte! Vielen Dank!

HaMaulWurf · 27. Januar 2011

Versuch mal die Containerdatei mittels Datenrettung auf niedriger ebene wiederherzustellen, aber speicher diese auf eine andere Festplatte!

M0sk1t0 · 27. Januar 2011

Das Einzige was du versuchen kannst ist mit einem Datenrettungstool versuchen die Datei unter Windows wiederherzustellen. Dies solltest du schnell tun, da die Wahrscheinlichkeit besteht, dass du den Container im normalen Windowsbetrieb überschreiben könntest (unbeabsichtigt)

d.h: Keine Installationen oder sonstige Verschiebungen (auch Defragmentierung) solange du die Datei nocht nicht wieder hast.
EDIT: Jap, die geretteten Daten unbedingt auf eine andere HDD schreiben! (Hatte ich vergessen)

Mache dir aber keine allzu großen Hoffnungen, es sieht stark danach aus, als wenn die Datei ihre Beschreibungen verloren hat (Größe, Verteilung auf der HDD usw.). Diese sind nur sehr schwer und mit viel Glück wiederherzustellen. Solltest du sogar nur wenige Byte in dem Container verloren haben, könnte es sein, das der Container nicht mehr wiederherzustellen ist.

Viel Glück!

PS: Mit verschlüsselten Partitionen passiert so etwas eigentlich nie, da das echte Datenträger sind, vielleicht solltest du eher darauf umsteigen.

marcOcram · 27. Januar 2011

Erstmal: Versuche es zu vermeiden, jegliche Daten auf die Festplatte zu schreiben.

Wurde denn Speicherplatz auf der Festplatte freigegeben? Also 500GB mehr Platz auf HDD frei?

Versuche mal die Datei in TC auszuwählen, dann oben auf Tools -> Restore Volume Header -> Restore the volume header from the backup imbedded in the volume

Eventuell hilft dir das weiter (:

Darknemi · 27. Januar 2011

Erstmal danke für eure Hilfe!

Schreibvorgänge habe ich keine mehr auf der HDD ausgeführt.

Also wenn ich in TC versuche den Header wiederherzustellen kommt nur:
"Es wurde versucht den Dateizeiger von den Anfang der Datei zu setzen"
Das kam auch schon bevor die Datei 0 Byte hatte.

Und auf der HDD wurden tatsächlich 500 GB Speicherplatz freigegeben.

marcOcram · 27. Januar 2011

Dann musst du jetzt Datenrettungsprogramme laufen lassen, jenachdem wieviel dir der Einsatz wert ist, gibt es verschiedene Programme die dir da helfen können. Viel zu den einzelnen Programmen kann ich dir nicht sagen, nur dass mir persönlich "Free UnDelete" am besten helfen konnte. Ob andere Programme besser sind, kann ich dir leider nicht sagen.

Falls du die Datei rettest, speicher sie, wie vorher gesagt, nicht auf der gleichen Festplatte, unbedingt eine andere nehmen.

Darknemi · 27. Januar 2011

Ich habe bisher verschiedene Programme getestet wie PC Insepector File Recovery oder Testdisk, aber die Datei nicht gefunden.

Zum einen ist die Datei ja noch vorhanden mit 0 Bytes und die Datei hat ja auch keinen typischen Datei-Header, da verschlüsselt.

Gibt es Programme die explizit auch für die Rettung verschlüsselte Dateien gemacht sind?

EDIT: Habe mal zwei Screenshots aus HxD angefügt die auf das Ende der verschlüsselten Datei hindeuten. Die Datei scheint unfragmentiert vorzuliegen.
Was kann man nun damit anfangen?

Simpson474 · 27. Januar 2011

Das sind schon keine TrueCrypt-Daten mehr, da kann man bereits ein Muster erkennen. Wenn du den Scan trotzdem mal probieren willst, so kannst du beim "Custom Analyzer" in TestCrypt bei "Start Offset" 1078858909 und bei "End Offset" 1079058909 eintippen. Ich habe jedoch mittlerweile in einer virtuellen Maschine ein bisschen getestet und die Wahrscheinlichkeit, eine unfragmentierte Containerdatei zu bekommen, ist sehr gering. Nur die Tatsache, dass deine Container-Datei vergleichsweise klein ist bezogen auf die HDD-Größe spricht für eine unfragmentierte Datei.

Noch eine schlechte Nachricht: scheinbar gibt es bei Dateicontainern keinen Backup-Header. In diesem Fall darfst du nicht nach dem Ende des TrueCrypt-Volume suchen, sondern du musst nach dem Anfang suchen. Leider ist die Wahrscheinlichkeit groß, dass der Anfang der Datei beschädigt wurde.

Darknemi · 27. Januar 2011

Hm das ist schlecht

Kann das hier der Anfang der Datei sein?

Ich habe die Containerdatei übrigens direkt nach Kauf auf der leeren HDD erstellt.
Müsste die dann nicht unfragmentiert sein?

Simpson474 · 27. Januar 2011

Darknemi schrieb:
Müsste die dann nicht unfragmentiert sein?

Ich habe bei mir in der virtuellen Maschine ebenfalls mit leeren HDDs getestet - scheinbar legt NTFS teile der MFT oder ähnliches ca. in die Mitte der HDD und sorgt somit für Fragmentierung. Falls die Containerdatei direkt nach dem Formatieren erstellt wurde, so könnte es reichen, die ersten 20000 Sektoren der HDD zu scannen.

EDIT: Es gibt doch einen Backup-Header, ich habe mich bei meinen Tests nur vertippt. Grundsätzlich funktioniert es mit TestCrypt also, so lange die Datei unfragmentiert ist. Bei fragmentierten Dateien könnte man mit beiden Headern (Normal und Backup) ebenfalls noch einiges an Daten retten, leider sind die Header dann schwer zu finden und der Startoffset bzw. Endoffset der Datei liegt dann möglicherweise außerhalb der HDD, was von TestCrypt nicht unterstützt wird. Lass dennoch einfach mal den Scan der ersten 20000 Sektoren der HDD bzw. Partition durchlaufen und schau, ob was gefunden wird.

Darknemi · 27. Januar 2011

Also ich habe das mal ausprobiert, aber nichts gefunden.
Allerdings bin ich mir nicht sicher ob ich alles richtig eingestellt habe. Der Scan hat 24 min gedauert. Ist das realistisch?

Daher: Kannst du mir bitte noch mal ganz genau sagen wo ich was eintragen muss bei testcrypt?

Headb@nger71 · 28. Januar 2011

Versuch mal dieses Programm - leider noch keine Erfahrung.
In einem anderem Forum oder auch hier hat dort ein Kollege ein ähnliches Problem gehabt und seine Daten "gefunden"

http://download.cnet.com/GetDataBack-for-NTFS/3000-2242_4-10061737.html

Simpson474 · 28. Januar 2011

Darknemi schrieb:
Also ich habe das mal ausprobiert, aber nichts gefunden.
Allerdings bin ich mir nicht sicher ob ich alles richtig eingestellt habe. Der Scan hat 24 min gedauert. Ist das realistisch?

Die Zeit ist für 20000 Sektoren durchaus realistisch - allerdings kann es sein, dass diese zu wenig sind. Mein virtuelles Testsystem hatte gerade mal eine 1GB NTFS Partition, dadurch sind die Verwaltungsstrukturen viel kleiner. Du kannst den Scan einfach mal wiederholen, jedoch bei der Anzahl an Sektoren 200000 (100 MB) bzw. sogar 400000 (200MB) eintippen - der Scan wird halt dann eine Weile brauchen (z.B. über Nacht laufen lassen).

Darknemi · 28. Januar 2011

Das bezieht sich dann wieder auf die ersten 200.000 bzw. 400.000 Sektoren?

Ich habe auch mal GetDataBack for NTFS installiert und probeweise einen Durchlauf gestartet (systematischen Dateisystemschaden) was 11 Stunden dauern würde.

Eins von beiden werde ich dann heute Nacht durchlaufen lassen.

Was soll ich als erstes ausprobieren?

Simpson474 · 28. Januar 2011

GetDataBack auf die verschlüsselte Partition bringt garantiert nichts. Das ganze bezieht sich wieder auf die ersten Sektoren - am besten gibst du diesen Wert bei "Start of Volume" ein.

Darknemi · 29. Januar 2011

Soo.. das Ganze lief jetzt 7 Stunden über Nacht und testcrypt hat leider wieder keinen Header gefunden... langsam bin ich am verzweifeln

EDIT:
Also ich habe jetzt mal einen Test gemacht indem ich einen 1GB Container auf einem 4 GB USB-Stick erstellt habe. Dann habe ich mir die Datei selbst in Hxd und auf dem Datenträger angeschaut und versucht wiederzufinden.
Erschreckenderweise war sowohl Anfang als auch Ende nicht richtig erkennbar.
Sowohl davor als auch danach waren sehr ähnlich aussende Zufallsdaten zu sehen. Also keine große Reihe von Nullen o.Ä.

Daher die Fragen:
1. wie kann man die Unterschiede in HxD bemerken, worauf genau muss man achten? Gibt es in HxD irgendwelche Analysetools mit denen man das vereinfachen kann?
2. Gibt es nicht irgendwelche Byte-Folgen die bei TrueCrypt dateien IMMER gleich sind, nach denen man in HxD suche könnte?

Danke schon mal für weitere Hilfe

Truecrypt Containerdatei retten

Newbie

Cadet 3rd Year

Ensign

Lieutenant

Newbie

Lieutenant

Newbie

Anhänge

Fleet Admiral

Newbie

Anhänge

Fleet Admiral

Newbie

Lieutenant

Fleet Admiral

Newbie

Fleet Admiral

Newbie

Ähnliche Themen

Passend zum Thema