ComputerBase Menü
Aktuelles

Mit Truecrypt verschlüsselte HDD formatiert

T

Tersus

Gast
[gelöst] Mit Truecrypt verschlüsselte HDD formatiert

Guten Abend,

ich habe mich eigentlich nur Simpson474 wegen hier registriert, da er sich anscheinend recht gut mit dem Wiederherstellen von Partitionen auskennt.


Das Problem hatten ja schon viele und es existieren auch einige Themen dazu. Leider verliert man schnell die Übersicht, daher starte ich also noch mal ein Extrathema.


Meine HDD war vollständig mit TrueCrypt verschlüsselt; nicht versteckt. Heute versehentlich mit NTFS (4096kB Cluster) schnellformatiert. Ich habe den Header nicht gesichert, habe keinerlei Backups oder Rettungsdisks.

TestCrypt habe ich schon laufen lassen. Rausgekommen ist dabei folgendes:


(siehe auch Anhang)

Ich habe den gefundenen Header unter dem Laufwerkbuchstaben 'F' als Backup-Header einhängen lassen. Damit hatte ich also in meinem Arbeitsplatz ein Laufwerk 'F'. Dieses hatte allerdings kein Dateiformat. Mit TrueCrypt ließ es sich auch nicht einhängen, da nicht aufgelistet.

Wie muss ich weiter vorgehen? Mit TestDisk versuchen die alte Partition wiederherzustellen?

Bitte helft mir, es sind wirklich sehr wichtige Daten auf dem Datenträger.


Gruß!
 
Zuletzt bearbeitet von einem Moderator: (Problem gelöst)
Beim Schnellformatieren ist das Dateisystem meist zerstört und TestDisk kann nicht wirklich was damit anfangen. Hier kannst du nur mit Programmen wie GetDataBack oder R-Studio arbeiteten - wichtig dabei ist, dass du in diesen Programmen das in TestCrypt eingebundene, logische Laufwerk auswählst (in deinem Beispiel also 'F'). Bei GetDataBack muss dazu z.B. eine Box mit der Überschrift "Logische Laufwerke" aufgeklappt werden - mit dem physikalischen Laufwerk kann kein Programm was anfangen, da dieses ja verschlüsselt ist.
 
Beide kostenpflichtig ... . Welches würdest Du mir denn empfehlen, bzw. mit welchem hast Du mehr Erfahrungen?
 
Lass zunächst einfach mal die Demoversion laufen. Häufiger eingesetzt habe ich bisher GetDataBack.
 
Simpson474 schrieb:
... wichtig dabei ist, dass du in diesen Programmen das in TestCrypt eingebundene, logische Laufwerk auswählst (in deinem Beispiel also 'F'). Bei GetDataBack muss dazu z.B. eine Box mit der Überschrift "Logische Laufwerke" aufgeklappt werden - mit dem physikalischen Laufwerk kann kein Programm was anfangen, da dieses ja verschlüsselt ist.
Zum Vergrößern anklicken....

Das habe ich jetzt so mit GetDataBack gemacht, aber welche Scanart von den vier aufgelisteten soll ich auswählen? Ich habe voreilig den Scan für formatierte Dateisysteme gewählt (von oben der 3. Punkt), doch ich fürchte das stimmt nicht. Wenn doch, wieso?
 
Normalerweise nehme ich immer "Systematischer Dateisystemschaden" - ich denke, dass ist sogar der Punkt, wo das "formatierte Dateisystem" als Beispiel genannt wird.
 
Ja "Systematischer Dateisystemschaden" war es und das ist die zweite Auswahl von oben; hatte mich also geirrt.

So habe ich das nun für FAT-Dateisysteme durchgeführt und es wurde einiges gefunden.

Wenn ich aber nun auf so eine gefundene PFD klicke und die öffnen will, dann wird mir gesagt, sie sei fehlerhaft und könne nicht geöffnet werden. Wie muss ich weiter vorgehen.
 
GetDataBack gibt's in 2 Versionen - für FAT und für NTFS.
Du solltest schon die Version für das Filesystem benutzen, das ursprünglich auf der Platte war, und das wird wohl auch NTFS gewesen sein...
Bei Auswahl von "weiss nicht" wird ein vollständiger Scan durchgeführt, der zwar lange dauert, aber alle Möglichkeiten offen lässt, und abgespeichert werden kann, damit das mit der Lizenzversion nicht mehr wiederholt werden muss.
 
Zuletzt bearbeitet:
Ernst@at schrieb:
GetDataBack gibt's in 2 Versionen - für FAT und für NTFS.
Du solltest schon die Version für das Filesystem benutzen, das ursprünglich auf der Platte war, und das wird wohl auch NTFS gewesen sein...
Bei Auswahl von "weiss nicht" wird ein vollständiger Scan durchgeführt, der zwar lange dauert, aber alle Möglichkeiten offen lässt, und abgespeichert werden kann, damit das mit der Lizenzversion nicht mehr wiederholt werden muss.
Zum Vergrößern anklicken....

Ja, schon klar. Also NTFS wurde nichts gefunden, also habe ich die FAT-Version suchen lassen und diese hat da sehr viel gefunden!
Leider lassen sich die Daten nicht anschauen. Wenn ich z.B. dort eine ODT-Datei (LibreOffice Writer) öffnen will, dann stehen in dieser nur irgendwelche kryptischen Zeichen. Wie kann ich diese ODT wieder lesbar machen?
Gleiches mit Bildern. Sie können nicht angezeigt werden.


Gruß
 
Ich habe den gefundenen Header unter dem Laufwerkbuchstaben 'F' als Backup-Header einhängen lassen. Damit hatte ich also in meinem Arbeitsplatz ein Laufwerk 'F'. Dieses hatte allerdings kein Dateiformat.
Zum Vergrößern anklicken....

Und Du bist ganz sicher, bei GetDataBack für NTFS im Schritt1 dann das logische Laufwerk "F" als Ziel Deiner Begierde angegeben zu haben?
Ich würde das nochmals versuchen, aber im Willkommens-Schirm diesmal "Weiss nicht" auswählen.
Das Problem ist ja, dass die nachträgliche Fehlformatierung im Win ohne Truecrypt durchgeführt wurde, und die paar tausend überschriebenen Sektoren jetzt, im präsentierten Truecrypt-Volume, nach decrypten, sinnlosen Müll enthalten statt der üblichen Neuformat-Daten, anhand derer GetDataBack vielleicht den verursachten Schaden abzuschätzen versucht und deswegen aus dem Ruder läuft.

also habe ich die FAT-Version suchen lassen und diese hat da sehr viel gefunden!
Zum Vergrößern anklicken....
Wenn man einen Haufen beliebigen Datenmüll versucht, als FAT-Struktur zu interpretieren, dann kann wegen der simplen Struktur ohne Kontrollmechanismen immer etwas reininterpretiert werden, was niemals in dieser Form da war.
 
Zuletzt bearbeitet:
Ernst@at schrieb:
Und Du bist ganz sicher, bei GetDataBack für NTFS im Schritt1 dann das logische Laufwerk "F" als Ziel Deiner Begierde angegeben zu haben?
Zum Vergrößern anklicken....
Ja, da bin ich ganz sicher.

Ernst@at schrieb:
Ich würde das nochmals versuchen, aber im Willkommens-Schirm diesmal "Weiss nicht" auswählen.
Zum Vergrößern anklicken....
Gut, werde ich so noch einmal durchführen.

Ernst@at schrieb:
Das Problem ist ja, dass die nachträgliche Fehlformatierung im Win ohne Truecrypt durchgeführt wurde, und die paar tausend überschriebenen Sektoren jetzt, im präsentierten Truecrypt-Volume, nach decrypten, sinnlosen Müll enthalten statt der üblichen Neuformat-Daten, anhand derer GetDataBack vielleicht den verursachten Schaden abzuschätzen versucht und deswegen aus dem Ruder läuft.
Zum Vergrößern anklicken....
Genau das war auch erst meine Überlegung.

Ernst@at schrieb:
Wenn man einen Haufen beliebigen Datenmüll versucht, als FAT-Struktur zu interpretieren, dann kann wegen der simplen Struktur ohne Kontrollmechanismen immer etwas reininterpretiert werden, was niemals in dieser Form da war.
Zum Vergrößern anklicken....
Nun ja, um ganz ehrlich zu sein, glaube ich wirklich, dass das TrueCrypt-Volumen in FAT geschrieben wurde.
 
FAT ist zumindest die Standardeinstellung in TrueCrypt - wenn du eine Datei größer als 4 GB gespeichert hattest, so war es jedoch garantiert NTFS. Ein einfacher Test um festzustellen, ob das Entschlüsseln funktioniert ist Photorec: stellt das Programm zumindest eine Datei wieder her, die auf der verschlüsselten Partition gelegen hat, so passt der TrueCrypt-Header.
 
Simpson474 schrieb:
FAT ist zumindest die Standardeinstellung in TrueCrypt - wenn du eine Datei größer als 4 GB gespeichert hattest, so war es jedoch garantiert NTFS.
Zum Vergrößern anklicken....
Es waren nur kleine Dokumente auf der HDD, höchstens 10MB groß.

Simpson474 schrieb:
Ein einfacher Test um festzustellen, ob das Entschlüsseln funktioniert ist Photorec: stellt das Programm zumindest eine Datei wieder her, die auf der verschlüsselten Partition gelegen hat, so passt der TrueCrypt-Header.
Zum Vergrößern anklicken....

Ich bin mir sicher, dass das Entschlüsseln mit TestCrypt funktioniert hat, denn alle mir mit GetDataBack angezeigten Dateien waren auch auf der HDD vor der Formatierung. Die Dateien tragen die originalen Dateinamen, nur wenn ich sie wiederherstelle, können sie nicht geöffnet werden, bzw. ist deren Inhalt nur kryptische Zeichen.

Ich habe jetzt noch mal die Standardsuche mit GetDataBack durchlaufen lassen. Mal sehen, was dabei raus kommt.
Ergänzung ()

Rückmeldung:


Also ich habe nun das lokale Laufwerk noch mal standard-durchsucht (1. Auswahl). Es wurden die selben Dateien gefunden, wie bei der Auswahl 2 "Systematischer Dateisystemschaden".


Die wiederhergestellten Dateien sind weiterhin defekt. Bilder lasse sich nicht anzeigen und die Dokumente - ob nun PDF oder ODT - haben nur kryptische Zeichen als Inhalt und das über 800 Seiten ... .

Besteht noch Hoffnung, oder war es das endgültig?


Gruß
 
Merkwürdig erscheint, dass der FAT-Index offenbar richtig encryptet wird, da die Dateinamen Sinn machen. Warum dann im Verzeichnis der Pointer auf die Datenbereiche auf Unsinn zeigt, kann ich so nicht nachvollziehen.
Mit dem Disk Explorer von Runtime (welches auch GetDataBack vertreibt) ließe sich da vielleicht noch näheres erforschen, wenn man damit umgehen kann.
Vielleicht hat auch Simpson474 noch eine Idee...
 
Zuletzt bearbeitet:
Wirklich eine Idee habe ich auch nicht mehr - an TrueCrypt sollte es nicht mehr liegen. Hast du die Demo von R-Studio schon mal probiert - in manchen Fällen lassen sich damit noch Daten retten, die GetDataBack nicht findet oder umgekehrt.
 
a)
Gibt es eine Möglichkeit den erneuten Suchvorgang von TestCrypt zum finden des Backup-Headers zu überspringen? Oder muss ich Testcrypt wieder durchlaufen lassen?

b)
R-Studio wird dann mein letzter Versuch sein. Danach gebe ich es auf. Kann man mit R-Studio auch kostenfrei die gefundenen Daten ansehen?
 
Normal reicht es, wenn du im "Custom Analyzer" den Bereich folgenden Bereich eintippst:
19456/250/1 - 19456/251/60

Eine Vorschau sollte auch bei R-Studio mit der Demo funktionieren.
 
Es ist zum Verzweifeln. R-Studio Demo hat ungefähr das selbe gefunden, wie auch GetDataBack, nur ist hier die Ordnerhirachie original gehalten. Bei GetDataBack ist alles neu strukturiert.

Es wurden einige Dateien unter "Extra Found Files" aufgelistet, darunter sind alle Bilder unbeschadet. Die Bilder sind recht alt und von denen habe ich ein Backup.

Viel wichtiger sind mir meine Dokumente unter "Recognized0" und die tragen ALLE ein rotes Kreuz, was wohl heißen soll, dass sie beschädigt sind ... . Es wird mir nur der HEX-Code angezeigt.

Es ist zum Verzweifeln! Die Daten sind so nah und doch so fern ... ich könnte mich ohrfeigen, diese blöde Formatierung ausgeführt zu haben. Ich verstehe gar nicht, wozu es diese Datenshredder gibt, wenn das System schon durch normale Formatierung derart zerstört wird.

Änderung:

Ich führe gerade Freudenstänze auf! Ich habe noch mal auf "Recognized0" geschaut und es werden komplett alle Bilder dargestellt. Das ließ mich stuzig werden, warum meine Dokumente nicht einsehbar sind und ich bin zu der Folgerung gekommen, dass der interne Betrachter von R-Studio einfach nichts mit *.odt oder *.pdf anzugangen weiß!

In der Demo lassen sich Dateien kleiner als 64KB wiederherstellen. Alle meine Dokumente mit dieser geringen Dateigröße wurden absolut korrekt wiederhergestellt, obwohl sie im Betrachter angeblich defekt waren! Das muß bedeuten, dass auch der Rest korrekt sein muß! Ich hole mir also eine Lizenz und melde mich dann noch einmal zurück!

Jetzt schon mal tausend Dank an euch Simpson474 und Ernst@at!


Nachsatz (05.11.11)

Wie versprochen die Rückmeldung! Alle meine Dokumente sind wieder da. Meine Folgerung war korrekt. Ich bin heilfroh, mich an euch gewandt zu haben. Vielen Dank!
 
Zuletzt bearbeitet von einem Moderator:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

I
mit Truecrypt verschlüsselte Festplatte minimal überschrieben
Antworten
4
Aufrufe
1.621
Admiral*Thrawn
Admiral*Thrawn
WilmaImmer
Mit TrueCrypt verschlüsselte HDD formatiert. Wiederherstellen?
Antworten
19
Aufrufe
5.737
WilmaImmer
WilmaImmer
T
Mit Truecrypt verschlüsselte Partition retten bzw. wiederherstellen
Antworten
11
Aufrufe
2.323
TobSch
T
P
Truecrypt HDD formatiert - Alle Daten weg?
Antworten
12
Aufrufe
1.555
Simpson474
Simpson474
J
TrueCrypt: verschlüsselte Festplatte gelöscht // TestCrypt Probleme
Antworten
2
Aufrufe
2.764
Simpson474
Simpson474

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz