TrueCrypt: Partition gelöscht - wiederherstellen

Hallo!
Gestern habe ich leider im Rahmen einer Neuinstallation von Windows meine Sicherheitskopien auf einer externen TrueCypt HDD vernichtet ...
Ich wollte die Festplatten neu Partitionieren und habe mich dabei dummerweise verklickt und auch die Partition auf der externen gelöscht.
Es handelte sich dabei um eine NTFS Partition, die Nachträglich mit TrueCrypt verschlüsselt worden war.
Weiter dran gemacht habe ich jetzt noch nichts. Mein Rechner zeigt die Festplatte nicht als Festplatte an (unter Windows 7), TrueCrypt findet die Platte nur als leere, unpartitionierte Platte, wenn ich ihn auffordere, mir eine neue Partition zu erstellen.
Im Netz bin ich auf TestDisk 6.12 beta gestoßen und habe das mal durchlaufen lassen, komme aber immer nur zu der Meldung 'no bootable partition found'

Kann man da noch irgendwas drehen an der Platte? Wie gesagt, es waren mein Backups, an denen ich logischerweise doch ziemlich hänge ...

Mit freundlichen Grüßen,
Marcel

Schon mal gut, das du nichts weiter gemacht hast.
Deine TrueCrypt-Version sollte 6 und höher sein.
Erstelle mal eine Partition identisch und unformatiert auf deiner betroffenen Festplatte in der Datenträgerverwaltung.
Versuche mal den Volume Header wiederherzustellen.
Infos auch hier;
https://www.computerbase.de/forum/t...tion-geloescht-testdisk-findet-nichts.499446/

Viele Grüße

Fiona

Leider ist mir da kein Weg bekannt.

Selbst bei normalen Daten ist es ja schon nicht so leicht....Aber Truecrypt? Da ist das ganze ja erstmal ein totaler Wust den der Rechner gar nicht als relevante Daten erkennt. Dürfte also auch schwer sein, den Master Boot Record wiederherzustellen, weil ohne das Passwort und den Schlüssel sieht das für den PC ja aus wie absoluter Datenmüll.....

Es würde mich für dich freuen wenn ich mich irre, aber ich denke du kannst dich von den Daten verabschieden ;/

bye

*Edit: Ah wunderbar, scheinbar haben die Macher von Truecrypt da schon vorgedacht und für den Fall ein Backup des MBR erstellt -> Super Sache

mit testdisk wirst die schon wiederherstellen können, das problem wird aber sein das höchstwarscheinlich danach der header kaputt ist. wenn du von dem kein backup hast kannst die partition nicht mehr mounten ...
hier kannst mal lesen sollte dich evtl weiterbringen: https://www.computerbase.de/forum/threads/truecrypt-partition-geloescht-hidden-volume.756002/

Hallo,
also so wie ich das jetzt aus diesen drei Antworten verstehe ist es schonmal prinzipiell möglich, was mich ungemein beruhigt, aber scheinbar nicht ganz einfach.
Ich bin jetzt gerade auf der Arbeit, deswegen kann ich nun erstmal versuchen, das ganze theoretisch zu kapieren. Zunächst nochmal einmal nebenher, es handelt sich bei der Partition um KEINE Windowspartition, sondern wirklich nur blöde um ne Festplatte mit Medien, Dokumenten, Spielen, Bildern etc.

Gehe ich jetzt also richtig in der Annahme, dass ich auf die leere Festplatte eine neue TrueCrypt partition erstellen soll, oder eine ganz normale Partition? Wie finde ich die exakte Größe meiner Partition heraus? Oder einfach komplett partitionieren, da es zumindest vorher auch nur eine einzige Partition war?!
Anschließend ein paar mal mit TC mounten und dann das Backup durchführen?

Verwirrte Grüße (bin leider nicht besonders bewandert in solchen Dingen ...)
Marcel

Hallo nochmal!
Also, ich sitze nun wieder zu Hause am Rechner und bin am grübeln. Bei TrueCrypt habe ich übrigens rausgefunden, dass ich dort die HDD auswählen kann und dann die Funktion habe Backup Volume Header oder Restore Volume Header. Ist es das was ich brauche?
Aber zunächst muss ich wohl wieder eine Partition erstellen, identisch und unformatiert?!
Woher weiß ich, dass die Partition identisch ist? Kann man das rauskriegen irgendwie?
In der Datenträgerverwaltung habe ich für die HDD die Möglichkeit, ein neues einfaches Volume zu erstellen. Is tdas gleichbedeutend mit dem erstellen einer Partition?

Grüße, Marcel

Hallo zusammen!
Also ich habe jetzt einfach mal auf Verdachte ein Volume auf der HDD erstellt, welches die voll 953867Mb befüllt. Einmal habe ich einen Laufwerkbuchstaben zugewiesen, einmal nicht. In beiden fällen habe ich mehrfach versucht mit TC zu mounten, es ist abern ichts passiert ausser der Angabe es geht nicht. Den Header über die optionen widerherstellen habe ich ebenfalls erfolglos ausprobiert. Anschließend habe ich in beiden Fällen das Volume über die Datenträgerverwaltung wieder gelöscht.

Im Forum von TC habe ich ebenfalls angefragt, ob man mir da helfen, kann, warte allerdings nach wie vor auf Antwort.

Bin langsam ein wenig am verzweifeln ...

Grüße,
Marcel

Welches Windows hast du jetzt installiert? Unter welchem Windows wurde damals die NTFS-Partition erstellt, welche du jetzt gelöscht hast?

Hallo!
Also die aktuelle Version ist Windows 7. Und die Partition habe ich vor etwa einem halben Jahr unter dem selben OS erstellt, als ich dieses gekauft habe.
Hab übrigens heute ein wenig mit TestDisk und dem Datenträgermanager rumgespielt:

Im Datenträgermanager kann ich eine neue Partition auf einer Gesamtfläche von 953867MB erstellen. TestDisk hingegen gibt mit die HDD mit einem Gesamtvolumen von 953870MB an. Das ist eine Differenz von 3MB. Gehe ich richtig in der Annahme, dass diese 3MB bewuss von Windows 'unterschlagen' werden?
Als ich damals die Partition erstellt habe, habe ich die komplette HDD formatiert. Das müssten dann ja die bereits erwähnten 953867MB von W7 sein. Soweit ich das verstanden habe, muss ich aber die neue Partition um sie in TC zu mounten größer machen, als die Original Partition. In diesem Fall müsste ich ja dann versuchen, über TestDisk die Partition zu erstellen, oder?
Soweit ich das gesehen habe, geht das aber nur unter Angabe des Formates?!
Zumindest fragt der mich so Dinge wie Cylinder, Header, Sector, Cylinder, Header, Sector, Type oder so ähnlich ...
Was mache ich da am besten? Oder bin ich vollkommen auf dem Holzweg?!

Grüße,
Marcel

Ich hab jetzt mal an meinem kleinen TrueCrypt-Tool weitergeschrieben, damit sollte man nach einem Header suchen und daraus die Partitionsgrenzen berechnen können. Leider ist das Teil extrem langsam (bei meinem Phenom X4 925 ca. 16 Sektoren pro Sekunde mit reiner AES/RIPMED160-Unterstützung, ca. 4 Sektoren pro Sekunde mit vollständiger Unterstützung der TrueCrypt-Verschlüsselungen). Das Tool benötigt vollständigen Zugriff auf die HDD, daher muss es unter Windows 7 in einer Eingabeaufforderung mit Administratorrechten (Rechtsklick -> Als Administrator ausführen) gestartet werden. Außerdem ist das TrueCrypt-Passwort nötig - keine Angst, da wird nichts irgendwie verschickt oder ähnliches. Solltest du den Source-Code sehen wollen, so kann ich diesen auch noch hochladen. Es handelt sich hierbei um die schnelle Version für AES/RIPMED160 - solltest du beim Erstellen des Volumes nicht die Standardeinstellungen von TrueCrypt benutzt haben, so muss ich noch die langsame Version hochladen. Es kann sein, dass du zum Ausführen zunächst von Microsoft das Visual Studio 2008 bzw. Visual Studio 2010 Redistributable Package (x86) installieren musst.

Zunächst solltest du das Tool ohne irgendwelche Parameter auf der Kommandozeile aufrufen: dabei sollte eine Liste mit allen gefundenen Festplatten und die Größe in Sektoren der Laufwerke ausgegeben werden. Anschließend startest du das Tool mit
wobei du bei SectorStart die Anzahl der Sektoren der HDD - 20000 angibst und bei SectorEnd die Anzahl der Sektoren der HDD. Bei PhysicalDriveX musst du die Nummer der HDD statt dem X schreiben. Hier ein Beispiel, wenn das Ende der ersten HDD, welche im Beispiel 50000 Sektoren besitzt, analysiert werden soll:

Achte darauf, dass das richtige Passwort noch einmal vom Programm ausgegeben wird (da muss ein bisschen zwischen Unicode/ASCI konvertiert werden, könnte Probleme bei Sonderzeichen geben). Sollte eine Fehlermeldung erscheinen, so diese bitte hier posten. Es gibt keine Fortschrittsanzeige oder ähnliches: das Programm scheint einfach zu hängen. Das Scannen von 20000 Sektoren kann bereits ziemlich lang dauern - einfach mal laufen lassen.

Bitte diese Version von TestCrypt nicht mehr benutzten: die aktuellste Version liegt hier. Dank grafischer Benutzeroberfläche ist diese leichter zu bedienen und außerdem wurden doch einige kritische Bugs gefixt.

Hey!
Also das klingt auf jeden Fall nach einem super Angebot. Vielen Dnak schonmal dafür.
Jetzt habe ich aber im Kopf, das Volume damals mit einer Kaskade aus AES/Serpent/TwoFish verschlüsselt zu haben, bei 512bit ...
Zudem besitze ich leider keinen Phenom 4, sondern nur einen Centrino DualCore 2500GHz. Meinst du, das wäre sinnvoll, es damit zu versuchen? Bereit wäre ich auf jeden Fall dazu, ich möchte die Daten wenn möglich natürlich wieder herstellen. Nur ... naja

Grüße und 'ne gute Nacht noch,
Marcel

Wie viele Cores die CPU hat ist im Moment scheinbar noch ziemlich egal - ich komme bei mir nicht über 25% Auslastung, da scheinbar nur ein Core verwendet wird. Um herauszufinden wieso, muss ich mir mal den TrueCrypt-Code genauer ansehen, denn dieser sollte eigentlich Multithreading sein. Durch deine Cascade wird die schnelle Version wahrscheinlich nicht laufen - ich hab jetzt wieder alle Verschlüsselungsverfahren aktiviert und die neue Version hochgeladen. Der Scan von 20000 Sektoren sollte bei dir ca. 2 - 3 Stunden dauern.

Bitte diese Version von TestCrypt nicht mehr benutzten: die aktuellste Version liegt hier. Dank grafischer Benutzeroberfläche ist diese leichter zu bedienen und außerdem wurden doch einige kritische Bugs gefixt.

Hey und guten Morgen!
Habe das Programm eben runtergeladen und versucht zu starten. Erhalte dann die Fehlermeldung msvcr100.dll fehlt ...
Korrigier mich übrigens, wenn ich irre. Aber im TestDisk habe ich zu meiner Festplatte stehen: 953870 63 32 => Ist dann nicht 953870 meine Cylinderzahl?

Werde nun versuchen, die .dll manuell runterzuladen und das Programm dann heute mal laufen zu lassen, da ich gleich erstmal weg bin bis morgen Mittag. Idealer Zeitpunkt eigentlich

Grüße!

EDIT:
Habe eben das Visual Studio 2010 Redistributable Package (x86) installiert. Erhalte nun keine Fehlermeldung mehr, sondern das Programm öffnet sich und schließt sofort wieder ...

LeCram schrieb:

Aber im TestDisk habe ich zu meiner Festplatte stehen: 953870 63 32 => Ist dann nicht 953870 meine Cylinderzahl?

Zum Vergrößern anklicken....

Du brauchst die Anzahl der Sektoren. Diese könnte man zwar berechnen, aber einfacher ist es, mein Programm ohne irgendeinen Parameter aufzurufen. Dann bekommst du genau diese Nummer.

LeCram schrieb:

Erhalte nun keine Fehlermeldung mehr, sondern das Programm öffnet sich und schließt sofort wieder ...

Zum Vergrößern anklicken....

Es ist ein reines Kommandozeilen-Tool. Geh in das Startmenü und such nach Eingabeaufforderung. Dann klickst du rechts auf das Icon und wählst als "Administrator ausführen". Anschließend navigierst du in der Eingabeaufforderung zum dem Pfad, wo du das Programm entpackt hast.

Ok. Super. Es funktioniert.
Habe nun folgendes vor mir: (siehe Anhang)

PhysicalDrive2 ist dann meine gesucht Festplatte mit ca. 1tb. PD0 ist meine Systemplatte mit etwa 250gb und PD1 ne SD-Karte mit 4gb.
In welchem Bereich muss ich jetzt also die Suche durchführen?
Werde das aber nicht mehr heute machen, werde jetzt jeden Moment abgeholt. Melde mich dann morgen wieder.

Vielen Dank aber schonmal bis hierhin, du gibst mir grade Hoffnung!!!!!!!

Grüße!

Die Partition hat so ziemlich die ganze HDD gefüllt, oder? Wenn ja, dann würde ich von 1953505168 bis 1953525168 den Scan starten.

Jep. Die komplette Festplatte war eine Partition. Werde dann mal jetzt 'ne Suche durchführen und das Ergebnis später mitteilen!

Du, ich stell mich wohl etwas blöd an. Habe noch nie mit Eingabeaufforderung gearbeitet.
Wie muss ich den genauen Befehl eingeben, zum starten der Suche? Das Auffinden des Programmes klappt ja und auch die Ausgabe der Daten, aber weiter komme ich nicht ...

Grüße!

Der Aufruf sollte so aussehen:

Du musst nur noch den "TrueCrypt Password" durch dein TrueCrypt Passwort in Anführungszeichen ersetzen. Ich hoffe du hast kein Anführungszeichen im Passwort, ansonsten muss ich da noch was umbasteln.

Hey. Habs nun nochmal versucht. Erhalte immer die Meldung es geht nicht O.o
Siehe Anhang!

Grüße!

Edit:
Hab es nun hinbekommen. Ich Idiot
Genauer Wortlaut des Befehls war:
C:\Users\Marcel\Desktop\TestCrypt\TestCrypt.exe "\\.\PhysicalDrive2" 1953505168 1953525168 "Passwort"

Das Programm läuft nun ...

Krieg ich dann irgendwann ne Ausgabe, ob und wie was gefunden wurde?! Beziehungsweise, was genau sollte der dann am Ende ausgeben?

Dankbare Grüße!

Sollte ein TrueCrypt-Header gefunden werden, dann wird die Meldung "TrueCrypt header found at sector" ausgegeben, zusammen mit den Informationen über die fehlende Partition.

Wuhu!!
Es hat funktioniert! Header wurde gefunden. Siehe Anhang!
Du weißt nicht zufällig, wie ich nun weiter machen muss, oder?

Grüße!