Partitionstabelle gelöscht: TrueCrypt

[Homer_S]

Hallo zusammen,

ich habe versehentlich (d'oh!) alle Partitionen einer (500GB-)Festplatte gelöscht. Es waren drei Partitionen darauf, eine davon - die letzte - war eine mit TrueCrypt verschlüsselte. Auf die beiden unverschlüsselten pfeif ich, aber die TrueCrypt Daten würde ich gerne retten.
Ich habe darauf erst mal gar nix gemacht, sondern eine neue HDD gekauft (2000 GB), diese angeschlossen, eine Live-CD (Knoppix) gebootet und per dd if=/dev/500GBPlatte of=/dev/2000GBPlatte ein backup erstellt.
Dann habe ich testdisk auf die zu rettende Platte losgelassen und die gefundenen Partitionen wiederhergestellt. Es wurde die erste Partition und eine erweiterte gefunden. Danach wurde ein Neustart verlangt. Nach dem Reboot hat sich chkdsk gemeldet und eine gefühlte Stunde lang auf der Platte rumgeturnt. "Ein Indexeintrag wird aus dem Index $0 in der Datei xy eingefügt" und dergleichen mehr. Danach hab ich per Windows Datenträgerverwaltung den übrigen (noch nicht zugewiesenen) Platz auf der HDD einem neuen Volume (natürlich ohne Formatieren!) zugewiesen - so wie ich das in diesem Forum in verschiedenen threads gelesen hatte. Und also versucht, per TC zu mounten. 3x. 4x. X-Mal, aber vergeblich.
Was mir noch auffiel: der unbenutzte Platz war ca 110 GB. Soweit ich mich erinnere, war die TrueCrypt-Partition aber nur ca 20 GB groß.
Auf die von testdisk wiederhergestellten Partitionen kann ich übrigens auch nicht zugreifen. For whatever reason.
Die Startpartition wird mir im Explorer zwar als G:\ NTFS und fehlerfrei angezeigt, aber darauf zugreifen kann ich nicht: Zugriff verweigert. Aber das wäre mir auch wurscht.
Die beiden anderen Partitionen werden nun in der DT-Verwaltung als RAW angezeigt.

Im Moment lass ich nochmal testdisk drüber laufen - Deep Search oder wie das heisst.

Ich kann natürlich jederzeit per dd if=/dev/sd2000GB of=/dev/500GB count=daß_es_eben_500GB_werden den Ursprungszustand (=alles wie es kurz nach dem Löschen der Partitionstabelle war) wiederherstellen.

Ich scheine wohl was falsch gemacht zu haben... wie kann ich vorgehen, um die TrueCrypt-partition zu retten? Alle anderen Partitionen sind mir wie bereits erwähnt nicht wichtig.

Vielen Dank im voraus
Homer_S

 

[azereus]

am... wie wärs mit der truecrypt-backup-cd die du erstellt hast während der verschlüsselung? schonmal damit versucht.

 

[Homer_S]

Tjaa,

wenn ich eine solche hätte, dann wäre das meine erste Wahl gewesen.
Schade eigentlich...
Nein, ich habe keine TC-backup-CD. Ich wusste bis dato nichts von einer solchen Backup-CD.
Das ist das erste, was ich machen werde, wenn ich die T-Partition denn wieder mounten kann - aber im Moment habe ich keine Backup-CD und kann auch keine solche erstellen.

Gibt es andere Möglichkeiten?

Danke
Homer_S

Ergänzung (22. März 2011)

Hallo zusammen,

vielleicht würde es helfen, wenn ich posten würde, was testdisk findet? Ich habe ein jpg vom testdisk-output. Wie kann ich dieses jpg hier einfügen?
Wenn ich auf das Grafik-einbinden-Icon klicke, werde ich nach einer URL gefragt. Ich habe keine URL. Das jpg liegt hier lokal auf meinem PC. (Auf einer anderen Festplatte als der zu rettenden, falls sich das nicht von selbst versteht)

Dankeschön
Homer_S

 

[azereus]

anhänge verwalten. bei den zusätzlichen einstellugnen unter dem antwort-button.

naja... ich konnte meine C-partition garnicht verschlüsseln wenn ich keine tc-backup-cd gemacht hätte mit dem image das TC macht und das selbst gebrannt werden muss.
darauf wird aber sehr deutlich hingewiesen. glaub da stand sogar das man sich mehrere davon machen soll zur sicherheit.

 

[Homer_S]

Ahja.

Also so sieht's aus (sh Anhang). Und an die Sache mit der Backup-CD erinnere ich mich nicht mehr so genau. Das muß so um 2004 gewesen sein, ich schätze das war die TC Version 3.1a. Mittlerweile hab ich natürlich Version 6.2, aber verschlüsselt wurde ursprünglich mit 3.1a.

Noch was möglicherweise hilfreiches: Ich hatte mir die Größe der Partitionen notiert. Diese Notiz hab ich gefunden. Die Partitionen waren wie folgt:

12 GB XP_Boot_old
430 GB
22 GB TrueCrypt-Partition (darin noch ein hidden TC-Volume)

Was muß ich nun wie bei testdisk wählen, damit diese Partitionierung wieder erscheint?
Und wieso tauchen da eigentlich Linuxe auf?

Dankeschön
Homer_S

 

[Fiona]

Zuerst sollten mit Testdisk deine beiden nicht verschlüsselten Partitionen wiederhergestellt werden.
Geht darum, damit du den Speicherplatz von dein TrueCrypt-Volume genau auf den Sektor wiederherstellen kannst.
Wichtig ist unformatiert.
Ich weiß aber nicht deine True-Crypt-Version mit der du das Laufwerk verchlüsselt hast, noch dein Betriebssystem?
Ähnliche Beispiele hier;
https://www.computerbase.de/forum/t...tion-geloescht-testdisk-findet-nichts.499446/

Viele Grüße

Fiona

 

[Homer_S]

Hallo Fiona,

die Partition Nr 3 der Festplatte wurde ca im Jahre 2004 verschlüsselt. Seinerzeit unter XP mit TrueCrypt Version 3.2a.
Mittlerweile habe ich dual-boot XP und Windows 7. Im Einsatz ist die TrueCrypt Version 6.2

Ich habe mir die Partitionsaufteilung irgendwann mal notiert und diese Notiz habe ich wieder gefunden. Ich bin mir also ziemlich sicher, daß die erste Partition (XP-Boot_old) 12GB groß ist.
Diese Partition habe ich per testdisk auch in der korrekten Größe wiederherstellen können. Ich kann zwar nicht darauf zugreifen (Zugriff verweigert), aber das kümmert mich wie gesagt nicht.
Die zweite Partition war ca 431 GB groß. Es ist mir *nicht* gelungen, diese Partition in der korrekten Größe von 431 GB wiederherzustellen. Und somit stimmt auch der 'übrige' ungenutzte Platz für die TC-Partition nicht. Die TC-Partition war etwa 20 GB groß.

Die betreffende Platte diente irgendwann auch in meinem VDR als Datengrab - der VDR läuft unter Linux. Daher können die Linux-Partitionen stammen.

Bei den folgenden Fragen könnte ich Hilfe brauchen:

I) Was muß ich im testdisk wie einstellen, daß die beiden NICHT-TC Partitionen in korrekter Größe wiederhergestellt werden? So daß also 20GB nichtzugeteilter Platz übrig bleibt, den ich dann in der Datenträger-Verwaltung einer Partition (ohne zu Formatieren) für TC zuweisen kann?

II) Muß ich nach einem erfolglosen Versuch den Ursprungszustand durch Zurückspielen meines vorher angefertigten backups (per dd if=/dev/sdX [backup] of=/dev/sdY [500 GB-platte] ) wiederherstellen - das dauert ca 5 Stunden -

oder genügt es die Partionstabelle einfach wieder zu löschen? In anderen Worten: Kann ich mit testdisk eine Partitionstabelle schreiben und danach in einem weiteren Lauf per testdisk diese Partitionstabelle ohne weitere Zwischenschritte überschreiben?

Dankeschön
Homer

 

[Simpson474]

Lade dir mal TestCrypt herunter und lass mit deinem Alibi-Passwort (nicht das vom Hidden-Volume, funktioniert erst ab TrueCrypt 6) suchen. Dabei gibst du beim Custom Analyzer den folgenden Bereich ein 57929/254/63 - 57940/254/63. Ich kann dir jedoch nicht garantieren, ob so alte Volumes wirklich gefunden werden - getestet ist nur zurück bis Version 5.1a.

 

[Homer_S]

Hallo Simpson474,

und was mach ich vorher mit meiner Platte? Ich hab nach meinen erfolglosen Versuchen das Backup wieder eingespielt (per dd if=/dev/bal of=/dev/blubb) und es sieht in der Datenträgerverwaltung nun wieder völlig jungfräulich aus (sh Anhang)

Dankeschön
Homer

 

[Simpson474]

Vorher brauchst du eigentlich nichts machen. Außerdem hättest du dir das Einspielen des Backups normal sparen können, da du bisher eigentlich nur in der Partitionstabelle rumgearbetitet hast.

 

[Homer_S]

Aah,


das war eine meiner noch unbeantworteten Fragen. Sehr schön.
Also solange ich nur an der Partitionstabelle rumfingere, brauch ich kein Backup zurückspielen. Das ist doch mal ne Aussage.

Gut, testcrypt läuft und bringt ordentlich Last auf die CPU. Über 80% bei einer Phenom II X4 955. In gut 2 Stunden weiß ich mehr...

Dankeschön
Homer

Ergänzung (23. März 2011)

Wow,

das ging dann doch fixer als erwartet. Auf einmal ging die Last runter und testcrypt schien zu hängen. Hat dann noch so eine grfühlte Minute gezögert und dann ging der Fortschrittsbalken ruckzuck von 6% auf 100%. Das Ergebnis ist im Anhang zu sehen.

Und nun?

Dankeschön
Homer

 

[Simpson474]

Der Fortschrittsbalken sollte eigentlich einigermaßen gleichmäßig laufen - aber das Ergebnis sieht schon mal nicht schlecht aus. Kannst du das Volume jetzt per Rechtsklick und "Mount as Normal Header" einbinden?

EDIT: Dein Volume wurde übrigens mit TrueCrypt 6 erstellt.

 

[Homer_S]

Wie Rechtsklick... achso

Öhm... sch*****... ich hab auf den Finish-Button geklickt. Weg isses.
Na gut, dachte ich mir, dann starte ich testcrypt eben erneut. Ging ja fix.
Aber nun bekomme ich in der Datenträgerauswahl den Datenträger 4 nicht mehr angeboten???

sh Anhang

Dankeschön
Homer

 

[Simpson474]

Der Datenträger darf nicht in TestDisk oder anderen Programmen geöffnet sein. Wenn das nicht hilft, so kann ein Neustart von Windows reichen. Solltest du eine 64-Bit Version haben, so musst du mit der F8-Taste und "Digitale Treibersignatur deaktivieren" starten. Anschließend kannst du in TestCrypt auch gleich mit dem Hidden Volume Passwort suchen - ab TrueCrypt 6 funktioniert dies nämlich auch direkt.

EDIT: Da die Position des Headers jetzt bekannt ist, kannst du auch folgenden, kleineren Bereich scannen: 57929/254/63 - 57931/1/1.

 

[Homer_S]

F8? Wann? Wo? Wie?

Ich mach erstmal n reboot...

Dankeschön
Homer

 

[Simpson474]

Beim Reboot - direkt nachdem BIOS-Screen. Du solltest dann ein Bootmenü von Windows bekommen, wo du Abgesicherten Modus, usw. auswählen kannst. Dort sollte es auch die erwähnte Option geben. Solltest du ein 32-Bit Betriebssystem haben, so ist die Option nicht nötig.

 

[Homer_S]

Aha,

diese Info hat mich etwas zu spät erreicht. Ich habe mittlerweile rebootet und testcrypt läuft bereits wieder. Über den kleineren range. Sollte also das 'äußere' TC-Volume wieder finden.
Wobei die Daten des hidden volumes natürlich interessanter sind.

Wobei testcrypt aufgrund des kleineren scan-ranges eh gleich durch ist. Das wart ich jetzt noch ab...

Ich habe also mit dem outer password gescannt und versucht, dieses Volume zu mounten. Das Resultat sh Anhang.

Dankeschön
Homer
Dankeschön
Homer

 

[Simpson474]

Das ist das Problem mit 64-Bit Betriebssystemen ab Vista - die digitale Treibersignatur verhindert das Laden des Treibers. Deshalb musst du mit der F8-Taste die entsprechende Option auswählen - diese gilt dann auch nur für einen Bootvorgang.

 

[Homer_S]

Aha.

Aber das klingt doch insgesamt ziemlich erfolgversprechend. Ich habe also neu gebootet, das Erzwingen der digitalen Treibersignatur abgewählt und scanne im Moment mit dem Passwort für das hidden volume.
Jetzt wird's spannend.

So ein Drama mit dem damit verbundenen Bluthochdruck will ich mir aus Rücksicht auf meine Gesundheit in Zukunft nicht mehr zumuten. Was kann ich tun, um solche Situationen in Zukunft zu vermeiden?
Den Header sichern? Wie das geht, hab ich mittlerweile in einem TC-Menü gefunden.

Eine Backup-CD erstellen? Oder hieß das gar TC-Boot-CD? Wie das geht, weiß ich noch nicht. Da wären mir hilfreiche Hinweise höchst willkommen.

Es scannt noch...

Dankeschön
Homer

 

[Simpson474]

Der Backup-Header hätte dir bei deinem jetzigen Problem nicht wirklich geholfen, da die Partition verloren gegangen ist. Die Rettungsdisk kann nur für die Preboot Authentication erstellt werden - also dann, wenn du das ganze Betriebssystem verschlüsselt hast und das Passwort vorm Windows-Start eintippen musst.

Am sichersten ist eine zweite, verschlüsselte HDD bzw. Partition auf einer anderen HDD. Die Daten der verschlüsselten Partition dann regelmäßig z.B. per Tools wie Robocopy spiegeln. Ein Komplettimage wie du es jetzt gemacht hast, wäre auch eine Idee, allerdings geht es mit dateibasierten Sicherungen meist schneller. Mit einer solchen Lösung hättest du auch eine Sicherheit, wenn dir eine HDD komplett ausfällt.