Das alte Lied von Truecrypt...Container gelöscht da dähmlich

[Mumick]

Moin moin und hallo

Ich habe eine 1,5 TB externe Platte auf der sich ein 400gb Truecrypt Container befand/befindet.

Allgemeine Situation:

Die 1,5 TB platte ist in eine 100 mb Partition und in eine 1499,9 gb ( ) (Daten-)Partition geteilt. Die Datenpartition ist im übrigen ebenfalls komplett verschlüsselt (also nicht als container sondern als gesamte Partition). Und auf dieser verschlüsselten Partition befindet sich nun der gelöschte 400gb container.
Beim rumwüten und aufräumen hat ich dann eben versehentlich den Container gelöscht. Dies ist nun seit bereits gut 2 Wochen her, ich habe den Fehler jedoch unmittelbar nach "begehen" erkannt und direkt dismounted/strom aus, so das erneute Schreibvorgänge so gut wie ausgeschlossen sind.

Der Container:
Mir ist das Passwort bekannt, ich habe keinerlei Backup vom Header (ledigliche Partielle Dateibackups). Es besteht des weiteren eine gewisse chance, das keine Fragmentierung stattgefunden hat, wobei mir an dieser Stelle möglicherweise schlichtweg das nötige know-how fehlen könnte. Ich habe den Container damals sehr bald nach der Verschlüsselung & Formatierung der Datenpartition erstellt. Mehr als 10-20 gb an Daten hätten zu diesem Zeitpunkt noch nicht auf der Platte stehen dürfen. Daher wäre es, meinem Verständnis zufolge, ja denkbar, das die Sektoren für den Container beim erstmaligen Erstellen zusammenhängend sind und ich sehe keinen Grund warum der Container im Nachhinein fragmentiert werden würde (container wurde nie verschoben o.Ä.). Ich lasse mich aber auch "gerne" eines besseren belehren.

Ich habe bereits versucht:

Testcrypt (Danke an Simpson 474)
EaseUS Data Recovery
undelte
Recuva
Stellar Phoenix data recovery
GetDataBack

Allesamt finden den Container garnicht oder geben seine größe mit "0 byte" an. Testcrypt findet den Container nicht.
Ich habe des weiteren aufmerksam den Verlauf bei Hart2011's Problem verfolgt (das ja scheinbar sehr ähnlich ist), jedoch ist mir sein Sachverständnis ein gutes Stück vorraus, so das ich die praktische Umsetzung der letztendlichen Lösung (fragmentierte Blocks zusammenlöten) schlichtweg überhaubt nicht geblickt hab >.< Mich würde in diesem Zusammenhang auch brennend interessieren wo ich den RandomBlockLocator finde =).

Ich grüße um Hilfe bittend!

Mumick

 

[Tranceport]

Gab es schon

keine chance

wenn der header weg ist, sind auch die daten weg
deswegen erstellt man beim verschüsseln eine cd mit dem header (unumgehbar!)
wenn diese auch nich tmehr zu finden ist
game over

Wie willst du den Header denn finden wenn du garnicht weißt wie er auszusehen hat?

 

[ghostwriter2]

Selbstverständlich kann man den Container noch Retten. Ist nur die Frage, ob du so viel Geld besitzt und investieren kannst. (Es gibt Datenrettungsfirmen, die selbst ->mehrfach überschriebene Dateien<- wiederherstellen können, unabhängig vom Inhalt; behauten Sie zumindest. Nur wie teuer das ist und ob dir die paar Hunderte/Tausende/Zehntausende Euro so spontan zur Verfügung stehen kann ich nicht beurteilen).

 

[Aladin911]

Habe ich das richtig verstanden?

1 HDD

1 Partition 100 mb zum booten NICHT verschüsselt

rest von HDD

2 partition verschluesselt

in dieser partition verschlüsselter 400gb Truecrypt Container



Meine fragen:

- was für format benutzt du HHD- Formatiert?
- was för Windoofs version,
- bitlocker verschlüsselung oder mit was ist HDD verschüsselt?

was sagt MBR

ferner was sagt Windows

 

[Mumick]

Danke erstmal für die Antworten.

Man möge mich Korregieren aber der Header steht doch immer am Anfang des Containers bzw. am Ende (backup-Header). Als solches ließe sich der Header finden, wenn man an den Anfang des 400gb großen random-block-konvoluts finden würde.
Simpson 474 's Testcrypt kommt ja auch ohne Backup vom Header aus.

Grüße

Mumick

Edit: Tranceport, bei dem von dir zitierten Fall ist es eine gänzlich andere geschichte. Eine komplettverschlüsselung der HDD mit pre-boot auth. ohne CD und gekilltem header ist tatsächlich ein Ding der unmöglichkeit.
Ich sollte vielleicht noch klarstellen: Ich habe vollen zugriff auf die "Datenpartition" (1,5tb). Diese ist unbeschädigt und lässt sich problemlos mounten.

Edit 2: @Aladin911: Ich habe mich wohl missverständlich ausgedrückt. Es handelt sich hier NICHT um eine Bootfähige Partition, sondern lediglich um meine kleine externe Datenmüllhalde (1,5tb mit partitionsweiter Verschlüsselung) auf der sich der 400gb Container befand. Die 100mb Partition habe ich lediglich vollständigkeitshalber erwähnt, hatte die eingerichtet um eine Portable-Version von Truecrypt gleich dabei zu haben, sollte aber nicht von weiterer Relevanz sein
Verschlüsselung: TrueCrypt AES
OS: Windows 7 sp1
HDD-Format: NTFS
MBR erübrigt sich

 

[Aladin911]

Generell:

vorsicht mit windows diensten wie index etc. !!! DEAKTIVIEREN

windows ist doof - als erstes egal mit was du die partition verschlüsselst hast mounten

erst dann kannste überhaut was sehen

dann div tools drüberlaufen lassen


im raw format findet er schon den container, ggf. mit hex edit wird man es auslesen müssen, dann den "virtuellen" sektor.

Da Du ja das PW zum Container weisst ist es anschliessend - wenn mann es ggf. manuel in die tab einträgt - als file vorhanden und kann gemounted werden.

Ich habe es ca. vor 2 Jahren gemacht und es klappte. Ich: unter NTFS, WIN764x, Kroll

Wichtig ist nur das PW zum container und die verschüsselte Partition MUSS gemouted sein (um zugreifen zu können) dann geht es.

Ergänzung (24. Mai 2013)

@ Tranceport ich denke, dass Du Dich irrst, hier geht es um container, also ist es wie ein file im RAW format zu behandel, weiter kennt er das PW zum container, es muss nur im "verzeichniss - Root" eingetragen werden, viel wichtiger ist es, wie die gesammte Partition verschluesselt ist, und darauf zuzugreifen

Ergänzung (24. Mai 2013)

schalte alle INDEX DIENSTE aus!

zu reparierende HHD mounten mit PW

Ontrack EasyRecovery 10 Professional starten (ggf. ältere Version tut es auch ), das ist das tool mit dem ich gearbeitet habe, und suchen lassen... er findet div. files, dein container dann irgenwohin anders exportieren und anschliessend mounten mit PW fertig

was siehst du?

 

[Simpson474]

Zunächst einmal eine schlechte Nachricht: vergiss alle Programme wie GetDataBack oder R-Studio - Dateien mit mehr als 4GB werden in Windows unter NTFS beim Entfernen restlos gelöscht, so dass keines dieser Programme den Container mit der echten Größe finden und wiederherstellen kann. Was mir ein bisschen Hoffnung macht, ist die Containergröße von 400GB auf 1.5TB Partitionsgröße - eine so große Partition kann 400GB durchaus ohne Fragmentierung speichern - schlechter hingegen ist der Fakt, dass sich der verschlüsselte Container in einem verschlüsselten Laufwerk befindet. Ich hätte zwar ein Tool im Angebot, welches zum Aufspüren verschlüsselter Fragmente gedacht ist, dieses kann in der aktuellen Form aber nur physikalische Laufwerke, nicht jedoch logische TrueCrypt-Volumes durchsuchen.

 

[Mumick]

Danke erstmal für die neuen Antworten.

Ich werde trotz allem einmal den von Aladin beschriebenen Weg ausprobieren. Muss das nur zeitlich etwas appassen, bei 1,5 TB dauert das immer so ein bisschen^^. Danke für den Tip!

@Simpson474 deine Exptertise übersteigt meine zweifelslos, ist es doch aber nicht möglich (prinzipiell) jede gelöschte Datei wiederherzustellen, solange sie nicht überschrieben wurde? Die Daten müssten ja noch unverändert vorliegen und Windows führt ja standartmäßig keine random-bit Überschreibung durch (á la Guttmann-Method).
Das dein Tool in meinem Fall nicht anwendbar, ist natürlich schade :-/.

 

[Simpson474]

Auch wenn die Datei nicht physikalisch überschrieben wird - werden alle Einträge im Dateisystem restlos entfernt, so ist die Datei zwar physikalisch noch vorhanden, die Informationen wo die Fragmente der Datei auf der HDD gespeichert sind, jedoch gelöscht. Mach zunächst mal den von Aladin beschriebenen Versuch (vor allem das mit dem Indexdienst ist wichtig, zusätzlich noch die automatische Defragmentierung deaktivieren) - wenn es nicht klappt, dann schau ich mal nach, wie man in Windows logische Laufwerke auflisten kann und erweitere mein Tool entsprechend.

 

[Mumick]

Moin moin!

Hab die Ontrack EasyRecovery-Methode jetzt bereits drei mal getestet und jedes mal gehts nicht über 49,22% hinaus :-/.
Hat alles etwas gedauert, allein schon weil EasyRecovery >1Tag Veranschlagt hat und ich das immer mit einplanen musste. Ich habe mal die Logeinträge wie sie gegen Ende aussehen (aber eigendlich bei gesamten Durchlauf nach gleichem Muster) im Anhang beigefügt. Ich habe sowohl die "Formatierter Datenträger" als auch die "Gelöschte Dateien"-Option verwendet.

Grüße
Mumick

edit: Der Container wurde übrigens gefunden, wird aber mit einer Größe von 0 kb angegeben. Das Dateisystem wird hingegen korrekt erkannt.
edit2: Habe mal trotz der Größe von 0kb versucht die Datei wiederherzustellen und zu mounten. TrueCrypt gibt, wie erwartet, ein "Error: Incorrect volume size." aus. Aladin hatte ja noch das manuelle editieren via hex-editor erwähnt, wobei ich nicht so recht weis was ich da machen soll :-/ Hab auch gegen 0 tendierende Erfahrung mit hex-editoren.
edit3: Push...irgendjemand noch Vorschläge? Simpson474?^^