Tool zum Clonen von verschlüsselten Festplatten?

[Demon_666]

Beides möglich...

 

[Cilla]

Auch Macrium Reflect Free kann keine verschlüsselte Festplatte clonen..
Die 'leere' Disk lässt sich nicht anwählen, Advanced Options stehen somit gar nicht zur Verfügung.

 

[gymfan]

Auch Macrium Reflect Free kann keine verschlüsselte Festplatte clonen..
Die 'leere' Disk lässt sich nicht anwählen, Advanced Options stehen somit gar nicht zur Verfügung.

Keine Ahnung, was da schief läuft. Bei mir (mit Macrium Reflect Free 7.3) kann ich die komplette verschlüsselte USB-HDD (unformatted primary, egal ob gerade gemounted oder nicht) zum Clonen (perform a forensic sector copy) oder auch zum Erstellen eines Images auswählen. Mangels einer freien HDD kann ich das zwar nicht testen, Images habe ich von VC Partitionen auf diese Weise aber schon erstellt und später auch erfolgreich wieder hergestellt.

U.U, geht das aber nicht aus einem laufenden Windows heraus mit der verschlüsselten Systempartition.

Sonst halt einfach Linux booten, die korrekten (!) Devices ermitteln und mit dd kopieren.

 

[I'm unknown]

U.U, geht das aber nicht aus einem laufenden Windows heraus mit der verschlüsselten Systempartition.

Das kann damit nicht funktionieren, da das nur auf Dateisystemebene mit Schattenkopien in NTFS funktioniert. Eine aktiv verwendete Windowspartition auf Sektorebene zu sichern kann nicht funktionieren.

 

[Demon_666]

Dann eben mit macrium einen Bootstick erstellen und damit booten.

 

[Cilla]

Reminder:
Ich sicher nicht die Windows-Systemplatte sondern eine reine vollverschlüsselte Datenplatte
Edit: natürlich im nicht gemounteten Zustand!

Ergänzung (12. April 2021)

@gymfan
Bei mir lässt sich bei dem Kästchen kein Haken setzen oder wie geht das bei dir? Vielleicht liegt bei mir ein Anwenderfehler vor

 

[gymfan]

Das kann damit nicht funktionieren, da das nur auf Dateisystemebene mit Schattenkopien in NTFS funktioniert. Eine aktiv verwendete Windowspartition auf Sektorebene zu sichern kann nicht funktionieren.

Warum soll es nicht möglich sein, die Sektoren einfach 1:1 zu kopieren? Das Ergebnis wäre dann halt vom enthaltenen Dateisystem her etwa so korrekt (oder defekt) wie ein System, das beim Stromausfall nicht korrekt herunter gefahren wurde. Aber u.U. bastelt da Windows ja für die Systempartiotion etwas anderes, eine als weiters Laufwerk eingebundene VC-Partition kann ich jedenfalls im Livebetrieb problemlos als Sektorkopie sichern.

Keine Ahnung, was da bei mir anders ist. Wenn ich die Screenshots richtig interpretieren, dann habe ich die HDD anders eingerichtet. Da ich nur meine Daten verschlüsseln wollte, ist auf der HDD eine Partition eingerichtet und diese ist dann mit VC verschlüsselt.

 

[Cilla]

Achso ja klar dann geht das natürlich. Bei mir denkt Windows die Festplatte ist nicht initialisiert, hat keinen MBR oder GPT, keine Partitionen und kein Dateisystem(e) und der Logical Volume Manager kann damit nichts anfangen. - Die Tools aber leider auch nicht.

Deswegen schrieb ich direkt eingangs:

Ich möchte eine verschlüsselte Festplatte, welche vom Diskmanagement nur als "Unallocated" erkannt wird clonen.

 

[I'm unknown]

Warum soll es nicht möglich sein, die Sektoren einfach 1:1 zu kopieren? Das Ergebnis wäre dann halt vom enthaltenen Dateisystem her etwa so korrekt (oder defekt) wie ein System, das beim Stromausfall nicht korrekt herunter gefahren wurde.

Nein, das ist ein größeres Problem: Ein Tool benötigt von Zeitpunkt 0 bis 100 um alle Sektoren zu lesen (und schreibt dabei die Daten auf ein anderes Medium bzw. in ein Image). Wenn irgendwann dazwischen ein bereits kopierter Bereich geändert wurde kann (bzw. wird) das komplette Dateisystem inkonsistent. Besonders relevant sind dabei die nicht mehr berücksichtigten Änderungen der MFT - die im vorderem Bereich einer Partition liegen.
Die dabei auftretenden Inkonsistenten sind erheblich größer als eine abgebrochene Transaktion im Journal bei einem Absturz (die teils beim nächsten Mounten nachgeholt werden können).
Bei deinem Beispiel mit der VeraCrypt Partition kann das noch halbwegs funktionieren, bei der Systempartition in die laufend was geschrieben wird würde ich dringend davon abraten.

Deshalb: Vernünftige 1:1 Kopien des verschlüsselten Containers geht nur offline sinnvoll.

Bei mir denkt Windows die Festplatte ist nicht initialisiert, hat keinen MBR oder GPT, keine Partitionen und kein Dateisystem(e) und der Logical Volume Manager kann damit nichts anfangen.

Einfachster Weg: Linux Live USB Stick, sudo dd if=/dev/sdX of=/dev/sdY bs=1M

Zuvor mit z.B. gparted nachsehen welche Platte welches Gerät ist (sda, sdc, sdd etc. - das Ziel kann man unter Windows gut markieren wenn dort eine Partition angelegt wird falls die "neue" SSD noch leer ist). Wichtig ist halt dass Input (if) und Output (of) passen, wenn das vertauscht wird denke ich ist klar was passiert .

 

[Cilla]

Deshalb: Vernünftige 1:1 Kopien des verschlüsselten Containers geht nur offline sinnvoll.

Oder wenn er nicht gemountet ist, da dürfte ja nichts passieren?

Wichtig ist halt dass Input (if) und Output (of) passen, wenn das vertauscht wird denke ich ist klar was passiert .

Da habe ich auch jedes Mal großen Respekt vor, deswegen eben find ich ein grafisches Tool dafür gar nicht so schlecht

 

[I'm unknown]

Oder wenn er nicht gemountet ist, da dürfte ja nichts passieren?

Nein, dann kann man das ohne Probleme durchführen.

deswegen eben find ich ein grafisches Tool dafür gar nicht so schlecht

Nun ja, für solche Operationen bevorzuge ich erprobte Software (und KISS ). Es gibt auch keinen großen Unterschied zwischen GUI und Konsole: man muss weder sofort Enter drücken noch vor dem Startklick die Zusammenfassung lesen .

 

[Cilla]

Ja stimmt schon, vielleicht ist es auch Faulheit

 

[gymfan]

Nein, das ist ein größeres Problem: Ein Tool benötigt von Zeitpunkt 0 bis 100 um alle Sektoren zu lesen (und schreibt dabei die Daten auf ein anderes Medium bzw. in ein Image).

Das ist mir alles klar, mangels eigener Programmiererfahrung mit VSS ist mir nur nicht klar, wie Microsoft bei VSS mit verschlüsselten Systempartitionen umgeht. Liefert einem VSS dabei immer die entschlüsselten Daten oder kommt man auch an die verschlüsselten Sektoren.

VSS kann "Complete copy This method makes a complete copy (called a "full copy" or "clone") of the original volume at a given point in time. This copy is read-only." Also kann ein Tool damit auch ein konsistentes (im Hinblick auf das Dateisystem, nicht im Hinblick auf laufende Applikationen wie Datenbanken) 1:1 Image der Systemplatte erstelllen.

Da ich eine mit VC verschlüsselte Nicht-Systempartition schon auf exakt diese Weise kopiert habe (ich war einfach zu faul, im Live-Linux auch doch einen iSCSI-Initiator einzurichten und auf dem Server freizugeben) und das Image danach mit VC wieder korrekt eingebunden werden konnte, klappt das zumindest mit nicht gemounteten Partitionen. Den Ausgaben von Macrium Reflect folgend macht es dabei nichts anderes wie bei gemounteten Partitionen und nutzt immer VSS.

bei der Systempartition in die laufend was geschrieben wird würde ich dringend davon abraten.

Ohne VC ist das mit Macrium Reflect schon seit vielen Jahren unter Windows kein Problem mehr.

 

[I'm unknown]

Das ist mir alles klar, mangels eigener Programmiererfahrung mit VSS ist mir nur nicht klar, wie Microsoft bei VSS mit verschlüsselten Partitionen umgeht. Liefert einem VSS dabei immer die entschlüsselten Daten oder kommt man auch an die verschlüsselten Sektoren.

VSS ist ein Feature auf Dateisystemebene. Es ist eine Art Snapshot, daher kann das auch zur Laufzeit als Basis für Images verwendet werden. Das entspricht jedoch nicht einer bitgenauen Kopie des Laufwerks und beinhaltet natürlich die entschlüsselten Daten.

Ohne VC ist das mit Macrium Reflect schon seit vielen Jahren unter Windows kein Problem mehr.

Ja - genauso wie seit XP viele andere Tools auch. Nur möchte der TE ein bitgenaues Abbild auf ein anderes Medium schreiben, das geht zumindest unter Windows nur offline.