Daten kurioserweise nicht zugänglich (Win 7)

[theschalker]

Grundlegende Angaben

Altes System: 2 Partitionen, C: 250GB, D (Backup): 50GB, beide NTFS

Neues System: 2 Partitionen, C: 280GB, D: 20GB, beide NTFS

Jeweils lief das Betriebssystem Windows 7.

Es folgt eine etwas längere aber sicherlich interessante Story...

Ich besitze insg. vier externe Festplatten. Alle besitzen einen TrueCrypt-Container, der ca. 98% ihrer Gesamtkapazitäten einnimmt. Die Container habe ich mit einem von KeePass generierten Passwort gesichert, die mir allesamt nicht bekannt sind. Das Keepass-Backup habe ich ebenfalls in den Containern gespeichert, sowie auf der "Backup"-Partition meines Notebooks. Soweit so gut...
Gestern habe ich mein Notebook neu aufgesetzt und erneut zwei Partitionen erstellt. Erst heute habe ich bemerkt, dass ich die Container öffnen wollte, aber die entsprechenden Passwörter sich in eben diesen Containern befinden. Im Grunde also wie ein Safe-Schlüssel den man im Safe einschließt...

Nun mein Anliegen: Wie komme ich an das benötigte Keepass-Backup, welches sich in zwei Containern und auf der alten Win7-Partition befindet?
Habe die Festplatte bereits ausgebaut und sie per USB an einem anderen angeschlossen. "GetDataBack" habe ich bereits über eine der neuen Partitionen laufen lassen, aber das hat im Grunde nix gefunden.

Welche Möglichkeiten besitze ich nun? Was würde ggf. eine professionelle Datenrettung kosten?

Gruß!

edit: Ach ja, hab noch die Header für beide externe Festplatten, die ich vor einiger Zeit noch unter einem anderen Passwort erstellt hab. Bringt mir das in diesem Fall irgendwas?

 

[Zeroflow]

sry, aber wenn die keys für die TC volumes nur in den volumes selber gespeichert sind, dann seh ich schwarz

außer wenn du einfache passwörter gewählt hast gibts keine möglichkeiten die container zu öffnen.

ne professionelle datenrettung wäre ne idee, aber auch die garantieren dir nach dem überschreiben nicht dass sie was finden.

 

[TheCadillacMan]

(Ich bin kein Profi auf diesem Gebiet. Bitte korrigiert mich wenn ich falsch liege.)

Soweit ich weiß, sind die von TrueCrypt zur Verschlüsselung verwendeten Algorithmen praktisch (theoretisch beträgt der Zeitaufwand mehrere hundert Jahre) nicht knackbar. Profis können da auch nichts machen, da die Container ohne Passwort nicht entschlüsselt werden können.

Wenn du also dein Passwort nicht noch auf andere (unverschlüsselte) Weise findest siehts schlecht aus.

 

[AndrewPoison]

Also ich denke ebenfalls, das du hier ganz ganz schlechte Karten hast. Der Schlüssel im Safe ist eben der sicherste Ort für den Schlüssel - sofern man damit leben kann, nie wieder an seine Daten ranzukommen.

Einzige halbwegs realistische Möglichkeit wäre, die Notebook-Festplatte z.B. mit einem Hex-Editor (oder entsprechender Software, ich bevorzuge nur immer die manuelle Suche ^^) nach der Sicherungsdatei abzugrasen. Ohne PW kommst du da jedenfalls nicht mehr ran. Dafür ist es ja schließlich da

 

[theschalker]

Wie soll das mit dem Hex-Editor klappen? Hast du zufällig eine anleitung o.ä.?

 

[AndrewPoison]

Mein liebstes Werkzeug:

http://www.x-ways.net/winhex/index-d.html

Dieser Editor kann eigentlich alles, was man braucht. Eine direkte Anleitung habe ich leider nicht für dich (wäre auch im ganzen recht umfangreich), aber los gehts erstmal so:

• Die Demoversion laden
• Starten (muss nicht installiert werden, in dem Setup-Verzeichnis ist auch direkt die ausführbare Datei)
• Alles wegklicken was dir evtl. entgegenschlägt wegen Demoversion und so. Dann F9 drücken, um in den "Edit Disk"-Dialog zu kommen und deine Festplatte am besten physisch (also nicht logisch) auswählen und öffnen.
• Dann hast du deinen Datenträger schon vor dir. Ich würde dann direkt F6 drücken und den Read-only-Modus auswählen, wir wollen ja nicht noch mehr kaputt machen
• Und jetzt geht die Arbeit erst richtig los: du kannst jetzt deine gesamte Festplatte nach Fragmenten, die dir etwa vom Dateinamen des Backups oder von den Schlüsseln bekannt sind, durchsuchen [auch suchen lassen, durchforste einfach mal die ganzen Menüs]. Wenn du was findest, kann man dann versuchen entweder die Schlüssel direkt auszulesen (falls diese ungesichert gespeichert wurden) oder die Backup-Datei wiederherzustellen.

 

[theschalker]

Hm, hört sich doch recht nachvollziehbar an. Derzeit läuft GetDataBack noch bis 23:40Uhr, aber danach werd ich den Hex-Editor mal versuchen.

...werd ihn aber natürlich nicht mehr benötigen, da ich ja vorher bereits das Keepass-Backup gefunden hab

Und noch kurz eine Frage: Ich weiß, dass der exakte Name des Keepass-Backups "keepass 2009-11-24.kdb" lautet. Suche ich direkt nach diesem Begriff, oder gibt es bei bestimmten Suchbegriffen Probleme?

 

[AndrewPoison]

Du kannst einerseits nach dem Dateinamen suchen, andererseits über die Dateiwiederherstellungsfunktion nach der "Magischen Zahl". Dazu muss man diese allerdings wissen, was man am besten beim Hersteller erfragt.