truecrypt container wiederherstellen

[sc2]

habe jetzt auch vol 1 gefunden und zwar war das auf der platte 0 also auf der C platte die 2 patitionen hatte einmal für C und einmal für denn container!
nur zur übersicht nochmal platte 0 hatte 2 patitionen 1mal C und 1mal "D" wo der container lag vol 1
platte 1 hatte 2 patitionen wo auch 2 container lagen!
und platte 2 war komplett verschlüsselt !!!!

ich konnte dank Simpson474 ALLE daten wiederherstellen!!

da das tool dban mir alle platten löschen wollte und ich das noch schnell gesehen hab und denn rechner sofort ausgeschaltet habe! hatte ich gute chancen die daten wiederherzustellen!

 

[hoermann]

@Simpson474,

ich hab mal ne Frage. Wäre es möglich mit Deinem Tool einen Container wiederherzustellen der nicht mehr richtig angezeigt wird? Habe eine externe 1TB HDD auf der ein ca 930 GB Container liegt, die letzten male beim anschließen wollte Win7 die Datenträgerprüfung ausführen und hab das bisher immer verneint was auch problemlos lief. Dann nervte mich die Abfrage und ich hab die Prüfung durchgeführt und CHKDSK hat wohl im Index und im USN Journal einige Eintrage verändert und jetzt wird mir mein Container nur noch mit einer Größe von 0KB angezeigt.

Würde mich über Deine Hilfe sehr freuen.

Gruß hoermann

 

[Simpson474]

Probiert wurde es schon häufiger, funktioniert hat es noch nie. Das Problem ist die Fragmentierung, die scheinbar dadurch entsteht, dass die MFT bzw. der Backup-Bootsektor bei NTFS irgendwo auf der HDD verteilt liegt. Ich hab irgendwo noch ein kleines Tool geschrieben, welches zusammenhängende Blöcke von Zufallszahlen im Dateisystem sucht - ich mach mich mal auf die Suche nach dem Tool, muss ja noch irgendwo liegen.

EDIT: Gefunden - das Programm ist eine reine Kommandozeilenanwendung und muss mit Administratorrechten gestartet werden. Solltest du Windows Vista oder neuer verwenden, so muss die Eingabeaufforderung im Startmenü per Rechtsklick "Als Administrator ausführen" gestartet werden. Der Aufruf des Programms sieht wie folgt aus:

RandomBlockLocator.exe "\\.\PhysicalDriveX" 0 1953125000 16 4 2097152

Dabei musst du das X durch die Nummer deiner HDD ersetzen (ist die gleiche Nummer, wie in TestCrypt angezeigt wird). Du solltest anschließend eine Fortschrittsanzeige in der Kommandozeile sehen - der Scan wird einige Stunden dauern. Das Programm erstellt eine Datei "block.txt", den Inhalt dieser Datei kannst du nach dem Scan hochladen.

 

[hoermann]

Wäre natürlich klasse wenn es irgendetwas gebe. Die Daten sind ja nicht überschrieben worden sondern nur das Inhaltsverzeichnis wurde geändert. Die Container Datei wurde damals gleich nach dem Formatieren der damals neuen HDD erstellt sollte also nicht stark fragmentiert sein.

Was könnte mann denn noch ausprobieren?

 

[Simpson474]

Die Container Datei wurde damals gleich nach dem Formatieren der damals neuen HDD erstellt sollte also nicht stark fragmentiert sein.

Leider doch, selbst getestet - außer du hast den Container auf einem mindestens 8 TB großen Datenträger erstellt. Das Problem ist wirklich die MFT und ähnliches, welches so große Dateien auch direkt nach dem Formatieren fragmentiert. Lass einfach mal das angehängte Tool durchlaufen und lade die Ausgabe hier hoch - vielleicht klappt es ja dieses mal

 

[hoermann]

Gibt es nen Trick den Anhang zu finden?

Edit: Augen auf beim Eierkauf :-) hab den Link gefunden. Werde es testen wenn ein anderes Programm den Scanntest hinter sich gebracht hat.

 

[Simpson474]

Schau einfach drei Posts höher - Nummer #43.

 

[hoermann]

So habe RandomBlocklocater einmal durchlaufen lassen und hier das Ergebnis:

Block: 6701375 LBA - 937426626 LBA
Block: 976820031 LBA - 1338527354 LBA


Was bedeuten denn diese Werte.

Und vielen Dank für Deine Hilfe.

 

[Simpson474]

Block: 6701375 LBA - 937426626 LBA

Entspricht ca. 443 GB.

Block: 976820031 LBA - 1338527354 LBA

Entspricht ca. 176 GB.

Zusammen fehlt hier doch noch einiges auf 930GB. Versuch mal bei TestCrypt folgende Bereiche im Custom Analyzer:
6681375 - 6721375
937406626 - 937446626
976800031 - 976840031
1338507354 - 1338547354

 

[hoermann]

@Simpson474

So hab jetzt mal den Scan der 4 Teilbereiche angeschoben dauert jetzt knapp 2 Stunden.
Ich hab mal noch eine Frage zur Wiederherstellung von Truecrypt. So wie ich das nun einigen Themen entnommen haben ist es besser das komplette Laufwerk zu verschlüsseln als eine Containerdatei zu erzeugen die fast das ganze Laufwerk belegt? Ich habe mich für die große Containerdatei entschieden, da ich so Truecrypt selbst mit draufpacken konnte und ich es nicht erst downloaden muss an nem PC der es nicht drauf hat.

Gruß hoermann

 

[Simpson474]

Es hat beides Vor- und Nachteile. Die besseren Chancen zur Datenrettung hat man meist bei vollständig verschlüsselten Laufwerken bzw. Partitionen. Viele sehen den Hauptvorteil des Containers darin, dass dieser einfacher gesichert werden kann, durch einfaches Kopieren und Einfügen auf einen anderen Datenträger. Darüber kann man jedoch ebenfalls streiten, ich hab bei mir z.B. eine Batch-Datei geschrieben, welche per Robocopy die Daten des eingebundenen Laufwerks auf ein zweites eingebundenes Laufwerk spiegelt. Das geht im Normalfall sogar schneller als eine Containerdatei zu kopieren, da dabei nur die geänderten Daten neu kopiert werden. Bei deinem Einsatzzweck hättest du auch zwei Partitionen machen können - die eine unverschlüsselt mit TrueCrypt, die zweite dann vollständig verschlüsselt.

 

[hoermann]

Das mit den zwei Parttionen werde ich dann wohl auch ausprobieren.

Ergänzung (4. Mai 2011)

Der Scan ist jetzt beendet und so sieht das Ergebnis aus. Ich glaube das ist nicht so gut oder?

Gruß hoermann

 

[Simpson474]

So weit ist bisher eigentlich noch keiner mit einem defekten Container gekommen.

58352/23/39 = 937.424.880 + 1.449 + 38 = 937.426.367 LBA
60804/59/55 = 976.816.260 + 3.717 + 54 = 976.820.031 LBA

Der Header bei Sektor 937.426.367 ist höchstwahrscheinlich der Backup-Header, der Header bei 976.820.031 der normale Header. Hast du die Blockangaben von meinem Tool kopiert oder per Hand abgeschrieben? Mich wundern immer noch die fehlenden ~300GB bei der Blockauflistung. Kann es sein, dass du die Formatierung beim Erstellen des TrueCrypt Volumes damals abgebrochen hast? Hast du eine weitere Festplatte mit 1TB zur Verfügung? Die HDD sollte keine Daten enthalten, denn der nächste Schritt wird etwas aufwendig.

 

[hoermann]

Die Blockangaben habe ich natürlich nicht kopiert soll ich das nochmal kurz eingeben und den Scan dann abbrechen? Ich habe die Truecryptformatierung durchlaufen lassen. Ich habe noch eine 2TB HDD extra wegen dem Recovery organisiert. allerdings liegt auf der einen Partition ein komplettes Sektor Backup meiner fehlerhaften 1TB HDD die zweite Partition ist leer aber glaub 2gb kleiner als 1TB


Ich könnte ja das Backup Image mounten und als Speicherplatz die alte 1TB HDD verwenden

Hatte Dein Programm noch auf und konnte zurück gehen hier die Werte

Volume 2
================================================================================
Type: FixedMedia
Size: 1000204886016 Bytes
Bytes per Sector: 512
Geometry: 121601/255/63

Partition 1
================================================================================
Type: 7 - HPFS/NTFS
Bootable: False
Start Offset: 0/1/1 (32256 Bytes)
End Offset: 121600/254/63 (1000202273280 Bytes)
Hidden Sectors: 63

Begin of Partition Analyzer
================================================================================
Partition 1: None

End of Partition Analyzer
================================================================================
Partition 1: None

Begin of Volume Analyzer
================================================================================
None

End of Volume Analyzer
================================================================================
None

Custom Analyzer
================================================================================
415/228/37 (6681375 LBA) - 418/98/32 (6721375 LBA)
58350/220/17 (937406626 LBA) - 58353/90/12 (937446626 LBA)
60802/252/26 (976800031 LBA) - 60805/122/21 (976840031 LBA)
83318/58/31 (1338507354 LBA) - 83320/183/26 (1338547354 LBA)

Scan Ranges (optimized)
================================================================================
415/228/37 (6681375 LBA) - 418/98/32 (6721375 LBA)
58350/220/17 (937406626 LBA) - 58353/90/12 (937446626 LBA)
60802/252/26 (976800031 LBA) - 60805/122/21 (976840031 LBA)
83318/58/31 (1338507354 LBA) - 83320/183/26 (1338547354 LBA)



EDIT:

Block: 6701375 LBA - 937426626 LBA
Block: 976820031 LBA - 1338527354 LBA


Die Daten habe ich kopiert.

 

[Simpson474]

Vielleicht hat auch mein RandomBlockLocator noch ein paar Bugs. Die zweite Platte klingt schon mal interessant - hast du die 1TB HDD 1 zu 1 an den Anfang der 2 TB HDD geklont? Wenn ja, dann schließ mal diese HDD an und starte mit TestCrypt beim Custom Analyzer einen Scan mit folgendem Bereich: 60804/58/55 - 60804/60/55

Du solltest bei diesem Scan wieder einen Header finden, dieser sollte jedoch per Rechtsklick und "Mount As Normal Header" eingebunden werden können. TestCrypt greift nur lesend auf die HDD zu, daher sollten die Daten auf der HDD sicher sein.

EDIT: Mit den Blockangaben habe ich die Ausgabe vom RandomBlockLocator gemeint - dort fehlen mir nämlich immer noch die 300GB. Allerdings - wie schon geschrieben - kann es auch ein Fehler im RandomBlockLocator sein, der wurde vor ein paar Monaten einfach mal kurz zusammengehackt.

 

[hoermann]

Habe das sektorbasierende Backup als Acronis True Image vorliegen. Mounten wird wohl nichts bringen da dies ja das gleiche ist wie die originale HDD.

Könnte ich die fehlerhafte Plattte formatieren und das Backup dort wiederherstellen inklusive mbr?

 

[Simpson474]

Es ist die gleiche wie die Original-HDD, aber sie hat mehr Speicherplatz

Das Problem bei TestCrypt ist jetzt, dass die Volumes durch die Fragmentierung außerhalb der HDD liegen - bei der 2 TB HDD sollte zumindest einer der beiden Header mit TestCrypt gemountet werden können.

 

[hoermann]

Ok was soll ich jetzt am besten machen:

1.Mounten des Backup Imges mit Trueimage
2.Fehlerhafte HDD löschen bzw mit dem Backup überschreiben?
3. oder neue 2TB HDD löschen und die defekte 1:1 auf die 2TB klonen?

Häne gerade in der Luft.

 

[Simpson474]

Ich hab dich falsch verstanden, du hast die HDD nicht 1:1 geklont sondern in eine Datei. Daher können wir gleich versuchen, die 1:1 Kopie ohne Fragmentierung auf der 2 TB HDD hinzubekommen. Dazu brauche ich jedoch die exakte Größe des TrueCrypt Volumes - ich habe schnell eine Spezialversion von TestCrypt gebaut, welcher auf der Ergebnisseite eine Nachricht mit dieser Größe ausspuckt. Lass diese Version mal über den folgenden Bereich laufen: 60804/58/55 - 60804/60/55.

Anschließend brauchst du wahrscheinlich eine Linux Live-CD - solltest du noch keine haben, so kannst du parallel schon mal Ubuntu runterladen.

 

[hoermann]

Ok habe ich erledigt hier der Wert 976601481216 zum Vergleich das Bild.