TrueCrypt: Partition gelöscht - wiederherstellen

Hallo Simpson474,

das sind sehr überschaubare 30 GB innerhalb eines Dual Boot Systems auf Basis von Bootcamp, die waren aber leider aufgrund der geringen Größe zu 95 % belegt. Zu allem Unglück lag der gelöschte Container noch auf dem Desktop der "Arbeitspartition", d.h. im C-Laufwerk, des Betriebssystems. Der Container war wie zuvor beschrieben lediglich 3 GB groß.

Mittlerweile habe ich auch herausgefunden, dass man das nachträglich durch Testdisk extern gesicherte Image mit der Endung *.dd relativ einfach durch umbenennen in *.img oder *.dmg auch mounten kann. Wiederherstellungstools haben bisher nichts weiter zu Tage gefördert.

30 GB sollten sich vollständig nach einem TrueCrypt-Header durchsuchen lassen. Das normale TestCrypt ist hierfür aber zu langsam und kann außerdem keine Images durchsuchen. Ich war mir sicher, dass ich vor ein paar Jahren ein deutlich schnelleres Tool geschrieben habe (sollte eigentlich das Backend für die nächste Version von TestCrypt werden, aber nach dem Ende von TrueCrypt macht eine weitere Entwicklung nicht mehr viel Sinn), das Auffinden des Quellcodes stellte sich jedoch schwieriger als erwartet heraus. Das Tool kann hier heruntergeladen werden (mit Quellcode). Bisher wurde es nie mit Images getestet, es sollte aber theoretisch funktionieren. Das Programm ist eine native 64-Bit Anwendung und läuft daher ausschließlich unter 64-Bit Versionen von Windows. Außerdem gibt es keine grafische Oberfläche, die Bedienung erfolgt rein über Kommandozeilenparameter. Als Optimierung werden nur ausgewählte Hash bzw. Verschlüsselungsalgorithmen aktiviert. Falls noch nicht installiert, wird die Visual C++ Redistributable für Visual Studio 2015 (x64) benötigt. Beim Zugriff auf physikalische Datenträger (nicht aber für Images) werden Administratorrechte benötigt (die Eingabeaufforderung bzw. PowerShell muss per Rechtsklick und "Als Administrator ausführen" gestartet werden):

Mit "Pkcs5PrfMask" können einzelne Hash-Verfahren ein- bzw. ausgeschaltet werden. Die einzelnen Bits können kombiniert werden, 6 aktiviert z.B. RIPEMD-160 und SHA-512:

Mit "ModeMask" können einzelne Verschlüsselungsmodi aktiviert bzw. deaktiviert werden. Die einzelnen Bits können kombiniert werden, 6 aktiviert z.B. XTS und LRW (neuere Versionen von TrueCrypt verwenden ausschließlich XTS):

Mit "EAMask" können einzelne Verschlüsslungsalgorithmen aktiviert bzw. deaktiviert werden. Bei mehreren Verschlüsslungsalgorithmen in einer Zeile handelt es sich um eine Cascade. Die einzelnen Bits können kombiniert werden, 6 aktiviert z.B. AES und Serpent:

Mit "SectorStride" können Sektoren bei der Analyse übersprungen werden. Ein "SectorStride" von 1 prüft z.B. alle Sektoren, ein "SectorStride" von 8 prüft nur jeden 8. Sektor. Da ein TrueCrypt Header immer nur am Beginn eines NTFS Clusters liegen kann, können Sektoren übersprungen werden. Das Überspringen funktioniert nur, wenn "SectorStart" an den NTFS Clustern ausgerichtet ist.

Falls die Standardeinstellung von TrueCrypt (RIPEMD-160, XTS und AES) verwendet wurde, so sollte der Aufruf wie folgt aussehen:

Bei "endsector" muss die Dateigröße des Images in Byte geteilt durch 512 eingeben werden. Bei einer Image-Größe von z.B. 1048576 Bytes muss 2048 verwendet werden.

Vielen Dank für die hilfreichen Erläuterungen. Ich habe die Treibersignierung mittels F8-Taste beim Windows-Start deaktiviert und auch das Programm, mit der Administrator-Option angewählt, in der Konsole starten können. Die Suche läuft nun, allerdings erreiche ich nur eine Performance von 0,1 MB/sec was aber wahrscheinlich eher durch die anspruchsvolle Berechnung, als denn einer geringen Übertragungsrate zum externen USB-Stick Datenträger geschuldet ist. Somit wird es selbst bei nur 30GB noch ein wenig (4 Tage) dauern. Ich werde vorr. gegen Ende der Woche wieder weiter berichten.

Hallo Simpson474,

so nun habe ich die Ergebnisse vorliegen nach dem Scan:

Truecrypt Header found:

33909880 34966680
40231824 61808448

Wie ist nun das Vorgehen für die Wiederherstellung? Kann ich das hier im Forum bereits veröffentliche Tool mit GUI von Dir dazu direkt nutzen?

Grüße

Sieht nicht so gut aus, es wurden zu viele Header gefunden. Probier jetzt das normale TestCrypt und gib im Custom-Analyzer folgende Bereiche ein:
33909879 - 33909881
34966679 - 34966681
40231823 - 40231825
61808447 - 61808449

Ist das Testcrypt mit GUI gemeint?
Link: http://testcrypt.sourceforge.net

Ja.

Guten Abend zusammen,

vorab ein großes Lob an die bisherige Hilfen hier, hier sind wirklich Profis am Werk! Hut ab!

Leider hat es mich auch erwischt, obwohl ich bei Daten eigl. sehr vorsichtig bin. Folgendes ist passiert: Ich wollte einen USB-Stick bootfähig machen und habe dabei bei der windows-eigenen Schnellformatierung meine NTFS Truecypt Platte bzw. die verschlüsselte, zu dem Zeitpunkt gemountete Partition erwischt und mit FAT32 formatiert. Juhu^^

Glücklicherweise habe ich alle persönlichen und wichtigen Daten etc. als doppeltes backup auf zwei weiteren Platten, allerdings sind einige Daten vorhanden, die ich als nicht backup-würdig angesehen habe, um die es nun aber schade wäre. Truecrypt Version sollte 7.0a gewesen sein, also sollte es evtl. Hoffnung geben auf einen Backup Header…wie ich jetzt nach 2 Tagen intensives Einlesen gelernt habe.

Hier eine historische Abfolge der Geschehnisse:

1. TC 7.0a verschlüsselte 3TB HDD mit 10GB unverschlüsselter Partition, Rest TC crypted
2. Schnellformatierung auf FAT32 mit Windows 7
3. In Datenträgerverwaltung 2TB Partition sichtbar, ~750GB als nicht zugreifbar markiert
4. Löschen des Volumens, auf GPT umgestellt, ohne formatieren (laut Meldung kein Datenverlust), gesamte 3TB HDD wird als RAW Platte in der Datenträgerverwaltung angezeigt
5. Backup Header mit Testcrypt gesucht mit „Automatic“ gesucht -> No header found
6. Testdisk mit „Intel“ quick scan durchlaufen lassen, 10 GB unverschlüsselte Partition gefunden (Screenshot „testdisk quick scan“) am Ende der Platte wie ich herauslese, d.h. der Backup Header kann nicht am Ende der Platte sein.
7. Darauffolgend „deep scan“ durch geführt (Screenshot „testdisk deep scan“)
8. Anschließend boot sector prüfen lassen (Screenshot „boot status Bad“), keine weiteren Aktionen
9. Basierend auf Screenshot 1 versucht auf den Bereich für den Backup header zurückzuschließen und folgende Bereiche gescannt bisher ohne Erfolg

45390/21/55 bis 45425/21/55 -> No header found
45600/41/1 bis 45600/41/63 -> No header found

10. Realisiert, dass wohl ohne Expertenwissen es selbst nach 2 Tagen intensiven Einlesens sehr schwierig sein könnte.
11. Manuelles Volume header backup habe ich leider nicht gemacht (in jugendlicher Leichtsinnigkeit vor vielen Jahren), Formatierung sollte beim Verschlüsseln nicht abgebrochen sein.

Ich habe noch von einigen anderen Möglichkeiten (HDD partitionieren und versuchen zu mounten, boot sector rebuild mit search mft, etc.) gelesen, möchte es aber ohne Spezialwissen ungern weiter alleine versuchen – Im Falle, dass es noch etwas zu retten gibt.

PS: Hoffe bald eine zweite HDD zum Klonen zu bekommen.

MFG Mario

Probier mal die TestCrypt-Version von hier: diese unterstützt auch externe HDDs mit 4K Sektoren.

Hallo Simpson474,

vielen Dank für deine Antwort. Ich werde diese Version heute Abend laufen lassen. Welchen Sektorenbereich würdest du mir empfehlen?

MFG Mario

Die gleichen wie beim letzten Mal, die sehen gar nicht so verkehrt aus.

Hallo Simpson474,

Super, das war der entscheidende Tipp, vielen Dank! Ich kann problemlos wieder auf die Daten zugreifen.

MFG Mario

Mir ist heute exakt das Selbe passiert, wie es bei mario8 der Fall war.
Dummerweise handelt es sich bei meiner vor Jahren verschlüsselten Partition einer externen Festplatte nicht um eine neuere TrueCrypt-Version, sondern vermutlich um eine wesentlich ältere.

Wie Mario bereits schrieb, hab ich auch die folgenden Optionen zwar gelesen, möchte allerdings erst um Rat bitten:

Ich habe noch von einigen anderen Möglichkeiten (HDD partitionieren und versuchen zu mounten, boot sector rebuild mit search mft, etc.) gelesen, möchte es aber ohne Spezialwissen ungern weiter alleine versuchen – Im Falle, dass es noch etwas zu retten gibt.

Zum Vergrößern anklicken....

Ich nutze das hier in Beitrag #489 zur Verfügung gestellte TestCrypt, das allerdings auch nach mehrfachen Scandurchläufen (Automatic) nichts gefunden hat. Wie genau man zwischen welchen Sektoren suchen soll, ist mir allerdings auch nicht geläufig.

Ich hoffe sehr, dass man da noch etwas machen kann.
@Simpson: Ich entschuldige mich für vorangegangene private Nachrichten. Ich war mir nicht sicher, ob diese in Ordnung oder weniger erwünscht sind. Wollte hier nicht gleich eine große Sache draus machen, aber das wird vermutlich der bessere Weg sein, damit andere mitlesen und ggf. ihre Probleme damit beheben können.

Falls Hoffnung besteht, entsprechende TC-Bilder:


Grüße

TestCrypt müsste den Backup Header mit der Option "Automatic" bei "End of Volume" finden. Falls nicht, so deutet das auf eine ältere Version von TrueCrypt hin, welche noch keine Backup-Header am Ende des Volumes verwendet. Der normale Header am Anfang des Volumens wird bei der Formatierung immer zerstört. Existiert noch eine ältere Sicherung bzw. wurde die Festplatte mal geklont? Beides könnte man zum Extrahieren des Headers verwenden.

Erstmal herzlichen Dank für Deine Antwort!

Simpson474 schrieb:

TestCrypt müsste den Backup Header mit der Option "Automatic" bei "End of Volume" finden.

Zum Vergrößern anklicken....

Sprich: Beim obengeposteten zweiten Bild jeweils "do not analyze", im dritten Fenster dann "do not analyze" und bei End of Volume "Automatic", korrekt? Dann werde ich das gleich nochmal so probieren.

Genau.

Simpson474 schrieb:

Genau.

Zum Vergrößern anklicken....

Hallo nochmal - tut mir leid, dass ich jetzt erst antworte!

Ich habe das nun wie beschrieben durchlaufen lassen, er hat leider wieder nichts gefunden ("No TrueCrypt header could be found").

Eventuell sollte ich dazu sagen, dass sich die Partition natürlich nicht mehr mounten lässt, sprich TrueCrypt will da kein Volume mehr erkennen. Die Partitionen sind gleich geblieben.

Gibt es andere mögliche Wege?

Grüße

Ohne ein externes Header Backup sehe ich hier keine Chance mehr.

Simpson474 schrieb:

Ohne ein externes Header Backup sehe ich hier keine Chance mehr.

Zum Vergrößern anklicken....

Ich habe wohl tatsächlich damals (ich glaube erneut an meine eigene Vernunft) ein Backup erstellt - gerade eben gefunden, soeben eingespielt, alles beim Alten. Vielen lieben Dank für Deine Hilfe!

Hallo alle zusammen,

ich bin auch komplett verzweifelt mit meiner externen 2TB Festplatte, hatte auch versehen meine Platte in Exfat schnell formatiert.

Habe jetzt nach langer Zeit es endlich geschafft mit EaseUS Data Recovery meine TrueCrypt Datei wiederherzustellen, nach dem GetDataBack und sämtliche andere Programme fehlgeschlagen sind. Also die Datei habe ich schon mal aber sobald ich diese in TrueCrypt einbinden will kommt folgende Fehlermeldung: "Incorrect Password or no TrueCrypt Volume". Das Passwort ist aber auf jeden Fall richtig, da bin ich mir sicher.

Den Thread habe ich mir schon ganz durchgelesen und versucht mit den Anleitungen über Testcrypt den Header wiederzufinden, da der wohl bei dem ganzen formatieren verloren gegangen ist.

Nun kommt bei mir wenn ich TestCrypt starte folgende Fehlermeldung

System Windows 10



Wenn ich dies Meldung nun ignoriere und trotzdem TestCrypt starte, die Einstellungen immer auf automatic stelle und die Festplatte auswähle auf die ich meine TC Datei wiederhergestellt habe kommt immer die Meldung : "No Header Found".



Habe ich eventuell TestCrypt nicht richtig eingestellt?

Langsam weiß ich nicht mehr weiter und meine ganzen alten Daten befindet sich auf der Festplatte...

Wäre super wenn mir jemand dabei weiterhelfen kann, ich bin mit meinem Latein am Ende.



Lg,
sensokami