Drivecrypt verschlüsselte Partition verschwunden

[papageno]

Hallo allerseits!

Ich reihe mich ein in die Reihe der Hilfsuchenden. Seit drei Tagen google und lese ich mir die Augen eckig wegen meines Problems. Es war nicht zu übersehen, dass Fiona unzähligen Leuten geholfen hat. So baue ich meine letzte Hoffnung auf sie (oder andere Erfahrene).

Mit Testdisk habe ich mich intensiv auseinander gesetzt, traue mich aber nicht, es bis zur letzten Konsequenz auszuführen, aus Angst etwas kaputt zu machen (was vielleicht eh' schon gehimmelt ist).

Also, zur Situation: ich habe 2 identische Samsung-Festplatten in meinem PC, jede 500 GB groß und jede hatte eine ungefähr 100 GB große, mit DriveCrypt verschlüsselte Partition.
Alles lief wunderbar, bis ich die Acronis Disk Director Suite 2009 einsetzte. Damit wollte ich die Boot-Partition der ersten Festplatte auf die Boot-Partition der 2. Festplatte übertragen, die kein startfähiges WindowsXP Pro SP3 besaß (im Gegensatz zur 1. HD).

Danach waren auf der 2. Festplatte 2 Partitionen weg. Eine kleine Partition hat Acronis wieder hergestellt, aber die große "DriveCrypt"-Partition ist und bleibt verschwunden. Die Situation sieht nun so aus:

"HD2_Dispo" war die Partition, die zuerst verschwunden war, aber von Acronis wiedergefunden wurde.
An der grün markierten Stelle befand sich meine DriveCrypt-Partition und die war früher genau so wie die auf der
1. Festplatte markiert, nämlich schraffiert und definiert als "unbekannte Partition".


Anwendung von Testdisk
... nach Schritt 4:

Was bedeuten die Nummern am linken Rand?


After SEARCH:

Warum sind die unteren zwei Zeilen grün markiert? Das sagt mit nicht viel.
Und wieso sind die oberen zwei als "D" markiert (gelöscht)? - Die sind doch da und funktionieren.
Wenn ich nun ENTER drücke, bezieht sich das auf die Zeile, die unter dem Cursor liegt?

Egal, ich continue ...

Und nochmal ... continue:

Nun, Ergebnis von "Deeper search":
Bevor Deep search beendet war, kam zwischendurch dieses Bild mit Warnhinweisen.

Übrigens eine Fat 12 habe ich hier zum ersten Mal gesehen.
Auch weiß ich nicht, was die BCRECOVERY-Partition dort zu suchen hat.
Sowas habe ich bislang nicht wissentlich benutzt.

Ergebnis von DEEP SEARCH:

Nun weiß ich jedoch nicht, wie ich weiter verfahren soll.
Bin scheinbar nicht in der Lage, das Ergebnis richtig zu interpretieren.

Aus dem Gefühl heraus würde ich nun die Partition, die in der Zeile unter
"HD2_DATEN" liegt verändern u. z. "D" zu "L" und den Startsektor "1" zu "0".
Aber ich warte erst mal ab.

Übrigens, alle Bootrecords wurden als OK bezeichnet.

Darf ich auf Ratschläge hoffen?

 

[papageno]

Mmmmh, nun sind zwei Wochen vergangen und es gibt keine Reaktion auf meinen Beitrag.
(Kein Vorwurf, aber ein wenig enttäuscht.)

Habe ich mit meinem Beitrag etwas falsch gemacht?

Gibt's denn keinen, der mir helfen kann?

 

[Mueli]

Erst einmal vorweg, mit DriveCrypt kenne ich mich nicht aus und habe es auch noch nicht genutzt! Die einzige, die dazu wirklich etwas sagen kann, besonders in Verbindung mit Testdisk ist Fiona, warte einfach (auch wenn es schwer fällt), bis sie sich meldet.

Ich habe mich zwar in Testdisk etwas hineingefummelt, aber Fiona ist am Support dieses Tools beteiligt und kann auf alle Fragen kompetenter Antworten. Die Darstellung der Partitionen in grün bedeutet, dass dort keine Probleme gefunden wurden, aber auch mit Einträgen ohne Farbe, kann die Disk ohne Probleme laufen (ich habe selber so eine Disk und die läuft seit Jahren so, die Einträge sind wahrscheinlich nicht 100%tig standardkonform). Auch sehen mir Deine Einträge, besonders was Start und End der Partitionen angeht, soweit o.k. aus. Bei Verschlüsselungstools gibt es verschiedene Methoden die Einträge der Partitionen / Filesysteme zu verschlüsseln, da braucht man genaue Informationen, an welchen Bytes in der Partitionstabelle / Bootsektor etc. geschraubt wurde. Truecrypt bietet z.B. an, nach der Installation Recovery-Informationen zu sichern und die Filesysteme wieder aus dem Sumpf zu ziehen.

Ich kann meinen Rat nur wiederholen, warte bis Fiona sich meldet, mit den neuen Aktivitäten im Thread stehen die Chancen gut.

 

[papageno]

Hallo Mueli!

Was bin ich froh, dass du dich gemeldet hast. Da gibt es doch noch einen Silberstreifen am Horizont.
Natürlich übe ich mich in Geduld und werde warten.
Nochmals Danke für die Rückmeldung.

Papageno

 

[Fiona]

Leider liegen auch mir zu wenig Infos von DriveCrypt vor.
Generelle Prozedur ist mit TrueCrypt;
Leere unformatierte Partition identisch erstellen.
Dabei wird eine Laufwerksbuchstabe erstellt.
Das Laufwerk kann dann versucht werden in TrueCrypt zu mounten.
Es kommt dann eine Abfrage ob das Backup vom Volume Header wiederhergestellt werden soll und das Laufwerk funktioniert dann.
Wenn aber formatiert wird, wird das verschlüsselte Datisystem überschrieben.
Eine Wiederherstellung vorort oder allgemein ist dann nicht mehr möglich.
Ob DriveCrypt auch so etwas über eine Sicherungsdiskette bietet kann ich nicht sagen.
Frage daher mal vorweg den Support von DriveCrypt.
Wäre sicherlich auch hier für andere User interessant.

Viele Grüße

Fiona

 

[papageno]

Hallo Fiona!

Danke für die Antwort!
Ich glaube, man kann das Prozedere analog TrueCrypt hier nicht anwenden, da DriveCrypt (DC) nicht mit Headern arbeitet. Das ist ein von DC als besonderes Sicherheitsfeature herausgestelltes Phänomen.
Ob DC so etwas wie ein Sicherungsdisketten-Verfahren hat, weiß ich auch nicht; ich werde mich erkundigen.
Wenn ich in dieser Frage oder mit anderen Rettungsbemühungen Erfolg habe, werde ich dies natürlich hier berichten.

M. E. liegt die Schuld einfach bei True Image (Acronis), weil die Partition verschwand, nachdem ich die Boot-Partition von der ersten auf die zweite Festplatte übertragen habe. Das hat offensichtlich die Partitiontabelle beschädigt. Leider habe ich kein Backup der vorherigen Partitionstabelle, müsste sie also auf irgendeinem Wege manuell rekonstruieren.

Herzlichst
Papageno

 

[Fiona]

Ich werde sicherlich soweit möglich im Fall behilflich sein.
Gegenwärtig wichtig ist sich mit den Support auseinanderzusetzen um den MBR im Fall wieder zu rekonstruieren.
Bin mal gespannt auf die Infos vom Support.
Wäre hier auch für andere User hilfreich.

Viele Grüße

Fiona

 

[papageno]

Heureka! - Ich hab's gefunden!
Alle Daten sind wieder komplett und unbeschädigt da.

Obwohl ich Testdisk intensiv angewendet und schätzen gelernt habe, war dieses Programm jedoch nicht die Lösung des Problems. War ich doch nicht vertraut genug damit und zu ängstlich, ich könne etwas von den verschwundenen, aber vorhandenen Daten zerstören.

Lösungen habe ich auch nicht beim Support von Drive Crypt und von Acronis erhalten.

Mit Acronis Disk Director studierte ich dann den Inhalt des unzugeordneten Bereichs, der meine Daten enthalten musste. Ich ermittelte Anfangs- und Endsektor und betrachtete mir die dort vorhandenen Daten mit einem HEX-Editor. Natürlich konnte ich nicht viel erkennen, da es sich ja um verschlüsselte Inhalte handelte. Was ich aber sah war, dass die ersten 63 Sektoren des unzugeordneten Bereichs völlig leer waren und die Daten erst ab einem gewissen Sektor begannen (bei mir: 727.053.768). Der letze Sektor des unzugeordneten Bereichs war 931.866.359.

Ich clonte nun die gesamte Festplatte Sektor für Sektor auf eine neue Festplatte, wodurch ich zwei identische Festplatten erhielt, - dauerte etwa 1,5 Stunden.

Auf der neuen Festplatte richtete ich in dem unzugeordneten Bereich eine Partition ein, die ich mit DriveCrypt verschlüsselte. Mit Acronis konnte ich sehen, dass diese Partition nun nicht mehr als "unzugeordnet", sondern als "unbekannt" (oder von Windows als "freier Speicherplatz") identifiziert wurde und dass die ersten 63 Sektoren nun nicht mehr leer waren, dagegen aber war der Datenbereich, der bei Sektor 727.053.768 begann, leer.

Es erschien mir nunmehr logisch, die Daten aus dem unzugeordenten Bereich der alten Festplatte (Sektoren 727.053.768 bis 931.866.359) in die gleichen Sektoren der neuen "unbekannten" Partition zu kopieren. (Natürlich durfte die Partition dabei nicht mit Drivecrypt geöffnet sein.)

Und nun kommt die eigentliche Lösung des Problems:
Mit dem Programm HEX WORKSHOP (http://www.bpsoft.com) kann man leicht Sektoren von einer Festplatte auf eine andere kopieren. Somit habe ich
- die Sektoren 727.053.768 bis 931.866.359 des Datenträgers 2 auf die
- die Sektoren 727.053.768 bis 931.866.359 des Datenträgers 3 kopiert.
Dieser Vorgang dauerte etwa 25 Minuten und die Prozedur war erfolgreich.
DriveCrypt zeigte nun die neue Partition als Encrypted an. Und welch Wunder - sie ließ sich öffnen und alle Daten waren wieder da.

Dabei spielte es keine Rolle, dass ich die neue Partition versehentlich mit einem anderen Passwort verschlüsselt hatte. Bei der Ablehnung des Passwortes, fiel mir wieder das ursprüngliche ein, welches die Partition dann öffnete. Offensichtlich war das alte Passwort noch in den Daten enthalten, die vorher in der verschwundenen Partition waren.

Vielleicht ist dieser Bericht für den ein oder anderen Leidensgenossen hilfreich.
Rückfragen will ich gerne beantworten.

Papageno


.