TrueCrypt Container nach CHKDSK von 420GB -> 0KB

[Ben_80]

Hallo zusammen,

und zunächst einmal viele Dank an alle, die sich in diesem Forum hier engagieren!
Ich habe hier schon viel gelesen und viel probiert, komme mit meinem Problem aber wohl ohne Hilfe leider nicht weiter...

Zur aktuellen Situation:

Durch eigene Dusseligkeit habe ich mir durch ein unüberlegtes CHKDSK unter WIN 7 meine TC-Container wohl zerschossen und hoffe hier doch noch etwas retten zu können

Abgelegt war der Container mit einer Größe von 420GB auf einer 500GB HDD die ansonsten quasi nicht genutzt wird.
Voll funktionsfähig war auch alles bis zum Durchlauf des CHKDSK. Nun ist der Container 0KB groß und kann natürlich nicht gemountet werden.

Nach einigen Recherchen und extrem guten Beiträgen von Simpson474 hier im Forum habe ich mich mit TestCrypt auf die Suche gemacht und werde auch fündig. Er findet den Container (ohne Backup Header) mit der richtigen Größe und ich kann ihn hier auch mounten - allerdings kann ich nicht auf die Files zugreifen, Windows würde gerne formatieren ...

Nun habe ich schon verschiedene Versuche auf das gemountete LW mit TestDisk, PhotoRec, Recuva, File Inspector, GetDataBack NTF usw. unternommen leider jedoch bisher ohne Erfolg aber sehr langen Suchzeiten.
Die Frage für mich ist noch... tue ich das richtige und oder bzw. was müsste ich jetzt genau tun, damit ich wieder Zugriff auf die Daten bekomme?

Für jede Hilfe bin ich extrem dankbar und bedanke mich schon 1000x im Voraus!

P.S.: Screenshots und genauere Daten kann ich sehr gerne ab heute Abend noch liefern.

Grüße
Ben

Screenshots:
Anbei noch ein Screenshot von TestCrypt:
Anhang anzeigen 364069

Fehlermeldung bei Versuch das 0KB File zu mounten:
Anhang anzeigen 364070

Fehlermeldung beim Zugriff auf TestCrypt Mount:
Anhang anzeigen 364071

 

[config.sys]

puh das hört sich nicht gut an, hast du dich schon mal an die truecrypt-entwickler bzw community gewandt?

viel glück

 

[Ben_80]

Nein, bisher noch nicht. Ich denke aber das alle Daten grundsätzlich ja da sind.

Was ich "noch" nicht weiß ist ob nur der Header oder das Dateisystem im File zerschossen ist.
Positiv ist, dass TestCrypt ja den Container findet und auch mountet - also ist denke ich, noch nicht alles verloren - hoffe ich!

 

[config.sys]

hmm jetzt hab ich mal aus reiner neugier etwas gegoogelt:

http://bitboard.blogspot.de/2011/11/recovering-files-from-corrupted.html

vielleicht bekommst du ja einen entscheidenden hinweis *daumendrück*

 

[Ben_80]

Danke für die Suche und Antwort.

Ja, das kenne ich und habe ich soweit auch schon probiert/bzw. läuft noch also das GetDataBack.

Das Problem bzw. der Unterschied ist, er kann sein Container noch in TrueCrypt mounten,
ich kann das leider nur noch über TestCrypt (Read Only) daher kann ich das Filesystem so leider nicht reparieren...

Oder eben doch, über andere Wege, die ich noch nicht kenne?

Gruß
Ben

 

[config.sys]

ahh ok verstehe, verdammt!

dann vielleicht dies?

There is a small volume header, which the end user can decrypt with his password.
Inside this header there is a master encryption key, which is the one Truecrypt uses to encrypt and decrypt the main user data volume.

So your task right now is to recover or re-create the original volume header, with the original master encryption key used to create the volume.

Hast du eigentlich die true-crypt rescue disk?

=>

1.
Make a bit-by-bit copy of the harddisks to empty harddisks of the same or larger size. You could do this using fx Norton Ghost, Acronis Trueimage, or Linux tools like G4L or Clonezilla Live. Then put the original disks away. (The purpose of this step is to keep the original disks safe, in case I accidentally make an irreversible mistake while working with the volumes.)

2.
Put the volume copies into a known good computer.

3.
And now it should (hopefully) be a case of booting from the Truecrypt Rescue Disk (CD), and follow Truecrypt's instructions.

link

 

[Ben_80]

Die habe leider nicht - soweit ich das verstanden habe kann diese auch nur erstellt und genutzt werden, wenn man ein ganzes Laufwerk verschlüsselt - sprich eine Partition.

Da ich ja aber "nur" einen sehr großen Container habe/hatte, hilft das mir an dieser Stelle leider nicht weiter.
Die Situation ist daher etwas ... verzwickt ...

Gruß
Ben

 

[config.sys]

ach so ein mist!

hmm so wie ich es verstehe besteht das problem darin, dass der header für ein einwandfreies mounten nicht mehr da ist und da müsste es eigentlich egal sein ob container oder komplettes lw, aber die luft wird echt dünn...

der tipp der bit-by-bit copy auf ein andres llaufwerk und dann damit experimentieren find ich gut, da kann man nix kaputt machen :-)

 

[Ben_80]

Das werde ich definitiv auch noch machen

 

[config.sys]

err was hälst du denn hiervon? => Scheint mit ein versuch zu sein: restore volume header

 

[Ben_80]

Das hatte ich auch schon gelesen, scheint aber auch nur zu gehen, wenn man in TrueCrypt noch mounten kann.
Leider hab ich natürlich kein Header Backup gemacht, als alles noch funktioniert hatte ...

In TestCrypt findet er nur den Normalen Header so dass ich es hiermit zunächst mal wieder auf read only mounten kann.
Es gibt soweit ich weiß aber keine Möglichkeit den Header von TestCrypt zu exportieren?

Anbei noch ein Screenshot von TestCrypt:


Fehlermeldung bei Versuch das 0KB File zu mounten:


Fehlermeldung beim Zugriff auf TestCrypt Mount:

 

[Simpson474]

Zeig mir mal bitte einen Screenshot von der zweiten Seite bei TestCrypt (direkt nach der HDD Auswahl) - ich befürchte, dein gefundener Header stammt von einer früheren Verschlüsselung der gesamten HDD.

 

[Ben_80]

Summary:

Volume 3
================================================================================
Type: FixedMedia
Size: 500106780160 Bytes
Bytes per Sector: 512
Geometry: 60801/255/63

Partition 1
================================================================================
Type: 7 - HPFS/NTFS
Bootable: False
Start Offset: 0/32/33 (1048576 Bytes)
End Offset: 60801/15/14 (500105740288 Bytes)
Hidden Sectors: 2048

Begin of Partition Analyzer
================================================================================
Partition 1: None

End of Partition Analyzer
================================================================================
Partition 1: None

Begin of Volume Analyzer
================================================================================
Automatic

End of Volume Analyzer
================================================================================
Automatic

Custom Analyzer
================================================================================

Scan Ranges (optimized)
================================================================================
0/0/1 (0 LBA) - 0/65/2 (4096 LBA)
60799/232/25 (976750575 LBA) - 60801/47/29 (976771054 LBA)


Die gesamte Festplatte hatte ich eigentlich noch nie verschlüsselt, es war schon immer ein Container.

--
Grüße
Ben

 

[Simpson474]

Der Header liegt jedoch außerhalb der Partition: die Partition beginnt bei 0/32/33, der Header liegt jedoch bereits bei 0/18/2. Du bekommst einen Link per PM, lass mal das Tool mit den Standardeinstellungen durchlaufen.

 

[Ben_80]

 

[Simpson474]

Das ist aber kein TrueCrypt Header - entweder ich habe mich verrechnet, oder du hast die falsche HDD ausgewählt: der Sektor würde jedoch passen.

 

[Ben_80]

Stimmt, hab die falsche Platte erwischt ... wäre hier nicht Harddisk 3 sondern 4 gewesen.
Nochmal neu gesucht...

Suche mit:


Wiedergefunden in:


Gruß
Ben

 

[Simpson474]

Das sieht jetzt schon eher nach einem TrueCrypt Header aus: pack den Bereich um den Sektor mal in TestCrypt, also im "Custom Analyzer" folgenden Bereich angeben:

4217790 - 4218046

 

[Ben_80]

Ergebnis:

 

[Simpson474]

Sieht gut aus - das schwierigste kommt jedoch leider noch

Der Container ist garantiert fragmentiert und daher müssen die Fragmente wie ein Puzzle zusammengesetzt werden. Zunächst einmal solltest du sicherstellen, dass der Header jetzt an der korrekten Stelle gefunden wurde: binde dazu den Header in TestCrypt ein und öffne das eingebundene Volume in WinHex oder HxD (WinHex funktioniert bei logischen Laufwerken stabiler): wenn alles passt, dann sollte im ersten Sektor ein NTFS oder FAT Marker liegen.