Truecrypt Volume verschwunden

Hallo,

leider wird seit heute die Partition, welche mit Truecrypt verschlüsselt ist, nicht mehr angezeigt. Es handelt sich um eine 3tb Toshiba Festplatte mit eigentlich völlig unbedenklichen SMART-Werten. Die Festplatte hat nur diese eine Partition gehabt.
Wie in einem anderen Thread beschrieben habe ich die Festplatte in der Datenträgerverwaltung neu initialisiert und ein unformatiertes Volume derselben (hoffe ich jedenfalls!) Größe erstellt. Anschließend habe ich in Truecrypt den Header vom Volumeende wiederhergestellt, es muss also noch irgendwas drauf sein. Die Partition lies sich auch mounten aber es werden mir keine Daten angezeigt...

Danach habe ich TestCrypt laufen lassen und es hat 2 Backup-Header gefunden. Ich kann mit beiden das Volume mounten aber es enthält wie zuvor keine Daten..

Gibt es noch etwas, was man versuchen kann? Ich hoffe, dass ich es nicht schlimmer gemacht habe. Aber formatiert wurde bisher ja nichts... Ich habe auch keine Idee, wie es dazu kommen konnte. Es gab keinen Stromausfall oder ähnliches und komische Sachen habe ich auch nicht gemacht. Ich habe eine andere defekte Festplatte low-level formatiert aber das sollte ja keine Auswirkungen auf die anderen Laufwerke haben (ich habe zu 100% die richtige Festplatte ausgewählt)

Ich habe nun getdataback for ntfs auf dem gemounteten Volume suchen lassen. Es wird zwar NTFS mit 2,73tb entdeckt aber keinerlei Daten gefunden.

Mit iBored habe ich mir mal die Sektoren? der kompletten Festplatte angeschaut. Auf der ersten Seite sind fast nur Nuller aber auch ein paar Buchstaben, auf den folgenden dann wieder nur Nullen. Später ist dann alles zufällig beschrieben. Die Sektoren des gemounteten Volumes bestehen jedoch nicht nur aus Nullen.

Vielen Dank!

Hallo und willkommen im Forum!

Wie war denn der Zustand des 3TB-TC-Laufwerks, nachdem du die andere Platte formatiert hattest? War die GPT-Tabelle noch vorhanden oder waren alle Partition weg? Falls die Partition(en) weg war(en), vermute ich, dass du doch die falsche Platte aus- bzw. mit auswähltest. Für diesen Fall kann dir nur noch ein vorhandenes Backup helfen.

Interessant wäre noch zu wissen, mit welchem Tool du die defekte Platte formatiert hattest und wie groß die Platte ist. Fangen die - bei nicht gemountetem Volume - die vorhandenen Daten (nicht Nullen) ab dem "Ende" der Größe der formatierten Platte an sollte die Sache klar sein...


Für den Fall, dass es tatsächlich nur die GPT-Tabelle gekillt hat, hast du durch deine schreibende Vorarbeit leider bereits einiges kaputt gemacht und unter Umständen relevante Bereiche (Struktur der GPT-Tabelle bzw. MFT des verschlüsselten Volumes) endgültig überschrieben .
Wichtig wäre zu wissen, wie die genaue Ausgangslage der Platte war und mit welchem Tool und exakt wie du die Partition(en) wieder angelegt hattest (Datenträger neu initialisiert, Partition als RAW angelegt oder mit NTFS formatiert, etc.).

Als Hinweis: Die unten angegebene beiden Partitionen sollte ich damals mit der Windows Datenträgerverwaltung angelegt haben - könnte aber auch mit gparted gewesen sein. Auf jeden Fall ist die 128MB-Partition automatisiert mit angelegt worden - daher tippe ich auf die Datenträgerverwaltung.

Beim mounten mittels deiner Header-Sicherung kommen an den Stellen, wo der Datenträger nur Nullen zurück liefert selbstverständlich zufällige Daten - andernfalls würde TrueCrypt auf deinem Rechner nicht funktionieren (Es werden aus Nullen im Container ja auch Zufallsdaten auf der Platte durch die Verschlüsselung - nur ob das was entschlüsselt wird auch Sinnvoll ist bewertet TrueCrypt nicht. Und mit nur Nullen kann kaum etwas sinnvolles heraus kommen .).

Vielen Dank für die Antwort!

Bei der zu formatierenden Platte handelte es sich um eine Samsung 2tb (ziemlich hinüber; 700 raw read error und 120000 mechanical-shocks(wie das in einem stationären PC sein kann, der nie bewegt wurde verstehe ich nicht...)). Es wurde wie folgt vorgegangen:

1. Versuch: ESWin von Samsung. Gab bei ca. 50% einen Schreibfehler. Die 3tb Platte war danach noch einwandfrei.

2. Versuch: Seagate-Tools (mittlerweile auch für Samsung). Gab bei 99% einen Fehler. Die 3tb Platte war danach noch einwandfrei.

3. Versuch: wieder ESWin mit Abbruch nach ca. 90%. Danach waren die Partitionen der 3tb Platte verschwunden. Wenn dabei fälschlicherweise die 3tb Platte formatiert wurde, müssten die ersten 60% der Sektoren mit Nullen gefüllt sein? Das ist aber nicht der Fall. Ich habe bei den Screenshots versucht halbwegs das Ende der Nullen zu treffen, bzw. Ab dem Screenshot ohne Nullen kamen auch keine mehr.

Die Toshiba 3tb Platte habe ich zu 100% nicht ausgewählt (ich gucke auch 5x, ob der Herd wirklich aus ist...). Mit den beiden Tools kann man auch nur Festplatten der jetzigen Seagate-Gruppe bearbeiten. Es ließen sich nicht einmal die SMART-Werte der Toshiba Festplatte anzeigen. Ob die beiden Tools richtig funktionieren und nicht noch irgendwo anders rumschreiben weiß ich natürlich nicht.

Die neue RAW-Partition habe ich wieder mit Windows angelegt. Ich denke, dass es auch vorher die 128mb Partition gab, weil ich das vorm Verschlüsseln auch alles ganz normal mit Windows gemacht habe.

Ich habe mittlerweile nochmal getdataback for ntfs laufen lassen und es wurden immerhin ca. 350gb von den 1,5tb gefunden, für die ich kein Backup mehr habe (dafür war die oben genannte 2tb Platte zuständig und der Ersatz für diese kam heute per Post...) Momentan lasse ich nochmal R-Studio drüberlaufen und hoffe, dass es etwas mehr findet. Ob die Daten mir allerdings den Preis für eine Vollversion wert sind, müsste ich noch einmal gut überlegen.

Was ein wenig seltsam ist, dass die Festplatte ziemlich vibriert und ein wenig rumklackert, jedenfalls deutlich mehr als zuvor. Aber nach meinem Verständnis kommt der Fehler doch eindeutig davon, dass irgendwas drübergeschrieben wurde? Oder kann es auch ein Hardwaredefekt sein?

Nachtrag: Ich habe nun R-Studio laufen lassen. Es findet eine größere NTFS Partition als getdataback. Wenn ich dann die erste NTFS-Partition anklicke und nach Dateien suche, hat das Programm aber offenbar ein paar Probleme. Es gibt an über 85tb zu finden und meine 32gb RAM sind komplett ausgelastet. Wenn ich nach den ~47min auf STOPP drücke, friert das Programm ein. Nach ein paar Minuten ging das noch aber es wurde mir auch nicht mehr angezeigt als bei getdataback (was auch nur ein paar Minuten gebraucht hat...).

jonash schrieb:

Ich habe nun getdataback for ntfs auf dem gemounteten Volume suchen lassen. Es wird zwar NTFS mit 2,73tb entdeckt aber keinerlei Daten gefunden.

Zum Vergrößern anklicken....

Hast du bei GetDataBack wirklich das gemountete Volume ausgewählt, (ist etwas versteckt unter "Logische Laufwerke" und wurde schon häufig übersehen) und nicht die verschlüsselte Partition? Hast du den Test mit beiden gefundenen Backup-Headern durchgeführt? Bei TrueCrypt kann kein einziger Sektor korrekt entschlüsselt werden, wenn sich der Header an der falschen Stelle befindet und leider gibt es auch keinen einfachen Test, um die Position eines Headers zu verifizieren.

jonash schrieb:

Die Sektoren des gemounteten Volumes bestehen jedoch nicht nur aus Nullen.

Zum Vergrößern anklicken....

Hier kann man häufig schon erkennen, ob man den richtigen Header verwendet. Kennst du noch ein paar Dateinamen von Dateien im Volume? Wenn ja, dann öffne das gemountete Volume mal mit HxD und starte eine Suche nach einem Dateinamen mit der Option "Unicode String" aktiviert. Wird der Dateiname gefunden, dann funktioniert die Entschlüsselung.

Danke für die Antwort!

Ich habe mit getdataback dann ja doch einiges gefunden. Der Fehler war, dass ich es auf der automatischen Auswahl belassen habe und nicht auf "defekte Partition" umgestellt habe. Gemountet war das Volume mit dem rekonstruierten Header vom Volumeende. Ich werde das Volume aber nochmal mit beiden Headern aus testcrypt mounten und nochmal getdataback laufen lassen.

Wenn mindestens eine Datei gefunden wurde, dann kannst du dir den Test mit den anderen Headern sparen, denn dann war der Header richtig. Auf der anderen Seite würde das aber bedeuten, dass doch einiges an Daten überschrieben wurde, denn ansonsten hätte GetDataBack so gut wie alle Daten wiederherstellen können.

na dann hab ich ja immerhin Zeit gespart

Kann sowas denn auch durch einen Hardwaredefekt kommen? Die Festplatte vibriert wirklich extrem. Meine neue WD blue 3tb ist kein Vergleich hierzu..

Es ist extrem unwahrscheinlich, dass der Datenverlust durch einen Hardwaredefekt entstanden ist, das war ziemlich sicher die Software. Die Vibrationen einer Festplatte sind häufig von Fertigungstoleranzen abhängig, man kann daher nicht grundsätzlich sagen, dass ein Modell stärker vibriert als ein anderes.

Okay, dann werde ich die Toshiba 3tb noch für Backups nutzen. Das Geklapper wenn sie im Gehäuse verbaut ist halte ich nicht mehr aus... Könnte die extreme Vibration evtl. die oben genannte 2tb Festplatte beschädigt haben (über 120000 mechanical shocks) ? Mein Gehäuse ist ein Lian Li mit den Gummis um die Schraube.