TrueCrypt - Header?

bdk

Newbie
Dabei seit
Mai 2010
Beiträge
3
Hallo,

Ich richte meine Frage direkt mal an Fiona. Ich habe bereits einige Beiträge von Ihr gelesen.. Die mir jedoch bei meinem Problem nicht weiterhelfen.

Problem:

Ich habe auf einer externen Festplatte einen 50gByte großen Container mit Truecrypt 6.1a verschlüsselt. Dieser Container funktionierte bis zum letzten Monat problemlos.

Seit zwei Wochen kann ich den Container leider nicht mehr öffnen. "falsches Passwort oder kein TC-Volume"

Natürlich habe ich den Header nicht gesichert. :mad: Warum? Ich benutze auf meinem Privat-PC schon seit Jahren zwei Container, die nie Probleme gemacht haben.. (die haben jetzt eine Sicherung)


Was ich gemacht habe:

Ich habe die externe Festplatte mit zur Arbeit genommen um einem Kollegen über das Netzwerk eine relativ große Datei zur Verfügung zu stellen. Da ich mich nicht mit der Sicherheit von TC auskannte, habe ich nur die eine Datei freigegeben und allen anderen Ordner auf meiner externen Platte, alle Rechte entzogen. Das bedeutet, niemand hatte schreib- und/oder Leserechte. Davon war auch der Container betroffen. (Volume1)

Nacherfolgreicher Datenübermittlung habe ich dem Kollegen die Netzwerkfreigabe entzogen und mir wieder die rechte auf alle Dateien gegeben. ich bin Benutzer mit Administratorrechten.

Danach habe ich die Festplatte abgestöpselt und mich drei Wochen nicht drum gekümmert.

Jetzt sind fünf Wochen rum.. :(

Ich kann nicht mehr auf meinen Container zugreifen.

Was ich versucht habe:

Ich habe versucht das englische TrueCrypt-Forum zu verstehen. Dort stoße ich immer wieder auf den Hinweis, dass es ab Version 6 eine automatische Sicherung des Headers gibt.
Was ich nicht verstehe:
Wie kann ich diese Sicherung "benutzen". Ich kann das Passwort ca. 1000000 mal eingeben. TrueCrypt fragt mich nicht
ob ich den Header restoren möchte (Habe mittlerweile Version 6.3a). Wenn ich auf "Mount Options klicke und dann auf "Restore embedded..." Soll ich auch wieder das Passwort eingeben, was immer und immer wieder falsch ist : "falsches Passwort oder kein TC-Volume"


In dem Container sind die Fotos von meinem kleinen Sohn.. deshalb ist es mir so wichtig. Ich weiß, ich hätte mich vorher schlau machen müssen.. Nachher ist man aber immer schlauer.. Jedenfalls ärgere ich mich und könnte vor Wut aus dem Fenster springen..

Hat jemand eine Idee?!

Vielen Dank

Björn
 

Nero Atreides

Lieutenant
Dabei seit
Jan. 2004
Beiträge
966
Zu der Rechtevergabe:

du hast den Container gemounted (welches OS?) und dann innerhalb des gemounteten Containers Rechte verändert? Oder Rechte auf der partition deiner ext. Platte verändert, auf der auch der Container liegt?

Im ersten Fall ist es bei Win-Systemen tatsächlich möglich, dass der Header der Partition (das OS denkt ja, dass es eine Partition ist) vom OS manipuliert wurde. Dann wäre tatsächlich die einzige Option, den Header zu restoren.
 

bdk

Newbie
Ersteller dieses Themas
Dabei seit
Mai 2010
Beiträge
3
Nein, der Container war zum Zeitpunt der "Rechtevergabe" nicht gemountet.

Die Rechtevergabe hat stets mit WIN XP Professional stattgefunden. Vorher war der Container auch mal mit Ubuntut 9.10 auf einem anderen PC gemountet worden.

Edit: Jetzt erst die Frage kapiert:

Also die Rechtevergabe galt der Festplatte an sich und nicht den Daten innerhalb des gemounteten Volumes.
 

Nero Atreides

Lieutenant
Dabei seit
Jan. 2004
Beiträge
966
dann sollte es eigentlich nichts mit dem header zu tun haben. ich kann mir nicht vorstellen, dass rechtevergabe an sich unter XP dazu führt, dass eine datei verändert wird.

die besitzrechte an der datei hast du (wieder) übernommen?
 

Simpson474

Fleet Admiral
Dabei seit
Sep. 2006
Beiträge
12.674
Vorher war der Container auch mal mit Ubuntut 9.10 auf einem anderen PC gemountet worden.
Grenzenloses Vertrauen in NTFS-3G ist schon ein bisschen gewagt - Linux und NTFS ist und bleibt ein Risiko (auch wenn ich seit NTFS-3G keine Datenverluste mehr hatte).

Da du einen Container verwendest, würde ich den zunächst einmal auf eine andere HDD kopieren - damit operieren wir nicht mehr an den Originaldaten. Öffne anschließend den Container mal in HxD (Hex-Editor) und kopiere mal das erste Megabyte in der Datei und lade den Ausschnitt hier hoch.
 

bdk

Newbie
Ersteller dieses Themas
Dabei seit
Mai 2010
Beiträge
3
Ich bin echt kein Experte in diesen Dingen.. Deshalb weiß ich nicht, wie ich in einem Hexeditor den ersten Mbyte erkennen kann..

Ich werde nie nie nie mehr so´n einen kack machen und meine Bilder nur noch in einem Safe oder so aufbewahren...

Hier ein Screenshot von Winhex:

[/URL][/IMG]
 

Simpson474

Fleet Admiral
Dabei seit
Sep. 2006
Beiträge
12.674
Die Daten sehen zumindest absolut zufällig aus und man kann weder einen besonderen Dateiheader noch irgendwelche Textteile entziffern - dies spricht eigentlich für eine TrueCrypt-Datei. Hast du die Datei bereits kopiert? Wenn ja, hast du die Möglichkeit, die Datei an einem anderen Rechner bzw. anderem Betriebssystem (z.B. eben wieder Ubuntu) zu testen? Ich kann mir außer einem beschädigten Dateisystem durch NTFS-3G (Ubuntu) nicht wirklich was vorstellen, was die Datei hätte überschreiben sollen. Außerdem ist es ziemlich unwahrscheinlich, dass sowohl der Original-Header (am Anfang der Datei) als auch der Backup-Header (am Ende der Datei) überschrieben wurden. Sind andere (nicht verschlüsselte) Dateien auf der HDD noch fehlerfrei lesbar? Auch wenn es blöd klingt, hast du das Passwort beim Eintippen schon mal im Klartext anzeigen lassen - vielleicht tippt deine Tastatur nicht das, was du erwartest?
 
F

Fiona

Gast
Nur Haken setzen reicht vielleicht nicht mehr?
Gehe bei deinen Container mal auf Sicherheit / Erweitert / Besitzer.
Prüfe mal auf welchen Namen die Rechte laufen.
Manchmal müssen die Rechte erst im abgsicherten Modus mit Anmeldung als Administrator auf diesen gesetzt werden.
Dann wieder normal starten und auf dein Konto mit Adminrechten übernehmen.

Wenn es schon Jahre her ist und eine andere Windowsinstallation war, kann es sein, das es nur mit einer langen Nummer (SID=Security Identyfier) vorher war?
Geht unter Reiter Sicherheit bei Hinzufügen / Erweitert / Jetzt suchen.
Prüfe mal ob dort eine lange Nummer (SID) ist?

Versuche mal das TrueCrypt-Volume wieder unter Ubuntu zu mounten?

Viele Grüße

Fiona
 
Top