Truecrypt Testcrypt Testdisk Systematischer Dateisystemschaden

martin567

Cadet 2nd Year
Registriert
Juni 2012
Beiträge
19
Bei mir wären 5 Jahre Arbeit im Eimer. historische Büchereingescannt, eigene Illustratordateien, Fotomontagen, Unmengen von gesammelten Ideen. Eigentlich sollte das meine Sicherung sein, die im Laufe der Zeit aber meine aktuelles Arbeitsverzeichnis war.

Meine Frage am Schluss wird sein, ob ich das Laufwerk einsenden soll und ob es eine Chance gibt, es im Labor zu retten. Ich glaube, ich überleb den Verlust nicht.

Systematischer Dateisystemschaden
Externes Laufwerk mit 640 GB /596 GIB WD 64000AAK External
darin ist ein 500 GB Truecryptvolumen.
TestDisk findet fast nichts.
und Testcrypt habe ich mit 'automatisch' Anfang und Ende durchlaufen lassen aber das war wohl nicht nicht richtig.
Wahrscheinlich ist so ein Header gelöscht.
TestDisk findet nur eine leere Partition mit 128 GB freien Speicherplatz und 8 kleineren Musikdateien , eine Systeminfo (change.log und einen gelöschten Papierkorb) .
Aber an diese 128 GB kann ich nicht mehr erinnern und es waren sehr sicher weniger als 40 GB frei.
Offen ist der Tabellen-Typ. NFTS oder Fat 32.
Testcrypt wählt den Fat16<32 Typ aus. Ich meine das könnte sogar stimmen.
Mir ist so als konnte man mit Truecrypt auch in einem Fat System ein NFTS Volumen anlegen.
Ich glaube nie vor dem TC Container eine über 4GB Datei abgespeichert zu haben.
Denkbar wäre es ... aber:
TestDisk schaut immer nach einem NFTS, selbst wenn ich den Typ in Fat 32 wechsle.
Bei TestDisk kann ich als Tabellentyp Intel aussuchen oder None
Dann gibt es wohl 2 Varianten beim durchsuchen, die eine dauert 2 Stunden und die andere wohl Tage. Ich bin mir nicht sicher, ob ich die lange Untersuchung schon habe durchlaufen lassen. Heute Nacht lief das Ding und heute morgen stand da nur
Disk /dev/sde - 640 GB /596 GIB WD 64000AAK External
als wenn nichts passiert wäre.
Nach der Wahl none gehe ich jetzt auf Advanded (Analyse bringt ja nichts, weil da immer nur 128GB angezeigt werden.)
Gehe ich auf Boot:
Bootsector Status ok (kann nicht stimmen) Backup sector: Bad Sectors are not identical.
List:
zeigt mir die unsinnigen 128 GB an
Deswegen ist REbuild mir auch zu gefährlich.
Dump boot verstehe ich nicht.
Wenn ich nach Advanded den Type auf Fat 32 einstelle kann ich nur noch ein Image machen
Aber da steht auch
First Sektor Boot code und Partitio are not identical
Second sector cluster information are not identical
Thirs sectors Second part of boot code are not identical.
Ich gehe jetzt nochmal auf Analyse

Gut dann habe ich mir die Demoversion von GetDataback geholt.
Ich denke mal der wird auch nichts finden. Wenn doch kann ich das ja noch schreiben.

Jetzt mal zum Vorgang des Absturzes:
Das erste war, dass ein internes Laufwerk (maxtor) plötzlich verschwand. Meine erstes Sicherungslaufwerk mit Datenbackup für 2 Partitionen!!
Nach Neustarts war das Laufwerk noch zu sehen, aber wenn ich drauf zugreifen wollte, war es weg auch im Gerätemanager. Dann schraubte ich den PC auf und dachte an ein Wackelkontakt.
Dann hatte ich in Windows 7 auf einer Partition laufen und hatte plötzlich keine Berechtigung mehr irgendwas zu machen.
Neustart gemacht und nichts ging mehr. Da die Sicherungsdateien auf dem nicht vorhandenen mehr vorhandenen Maxtor lagen mußte ich Windows 7 kompett neuinstallieren.
Auf der anderen Partition hatte ich noch Windows Xp laufen, mit aktuellen Emailkonten und noch funktionierenden Programminstallationen. Aber auch da mußte ich XP reparieren.
Der PC war teilweise langsam und die Maus frierte unvermittelt oft ein. Dann habe ich Servicepack 1 und 2 und 3 nachinstalliert und jetzt geht XP.
Ich ging vorgestern kurz aus dem Raum kam zurück und da stand ein Schild
Die Festplatte wird nicht erkannt, wollen sie diese formatieren.
Ich dachte prima die alte Maxtor geht wieder und klicke auf ja Schnellformatieren.
Und da war meine externe Festplatte mit den Arbeitsunterlagen weg.

Und nun zurück zu meiner Eingangsfrage ob ich das Laufwerk einsenden soll und ob es eine Chance gibt, es im Labor zu retten. Ich glaube, ich überleb den Verlust nicht.
Problem ist, die Leute haben da vielleicht keine Ahnung von Trycrypt und Testcrypt.
 
Ich vermute die im Labor werden es können. (reine Vermutung)
Aber das wird sau teuer! In der Schweiz bezahlst du sicher über 1000.- Franken für das...
Musst du selbst wissen ob es sich lohnt...

LG und viel Glück
 
Ich würe die Platte erstmal mit dem Linux-Tool DD Bit für Bit auf eine zweite Platte sichern. Danach kann man versuchen, mit irgendwelchen Rettungstools an die Daten zu kommen und hat notfalls immernoch ein "Backup", falls man mehr kaputt macht als wiederherstellt.
 
Dein Beitrag klingt sehr verworren und chaotisch und du scheinst nicht viel Ahnung davon zu haben, was du deinen Festplatten gerade mit den "Rettungstools" und sonstigen Maßnahmen (warum denn die Schnellformatierung?!) antust.

Wenn dir die Daten so wichtig sind, dass du deren Verlust nicht überleben würdest, wie du schreibst, dann hör endlich auf, an den Platten rumzubasteln und schick sie an professionelle Datenretter. - Zusammen mit deinem TrueCrypt-Passwort und der hoffentlich erstellten TrueCrypt-Rettungs-CD.
Um deren Wissen und Können bzgl. TrueCrypt solltest du dir keine Gedanken machen. Das gehört zu deren Job und das haben die sicher besser drauf als du... :)
 
Ob Leute im Labor sich mit Testcrypt auskennen wage ich zu bezweifeln.
Simpson474 ist der Entwickler und macht zumeist hier support.
Datenrettung greift erst nach Entschlüsselung.
Daher ist es ratsam keinerlei Aktionen auf der Platte auszuführen, höchstens wenn man genau weiß was man tut.

Viele Grüße

Fiona
 
QuantenWalli schrieb:
Dein Beitrag klingt sehr verworren und chaotisch
Dem schließe ich mich zunächst mal bedingungslos an ;)

martin567 schrieb:
Dann habe ich Servicepack 1 und 2 und 3 nachinstalliert und jetzt geht XP.
martin567 schrieb:
zeigt mir die unsinnigen 128 GB an
Ist leider bei deiner Installationsreihenfolge keine Seltenheit, da Windows XP ohne Service-Pack nur 128 GB große Festplatten unterstützt. Die Verwendung einer größeren HDD, welche in einem anderen Betriebssystem partitioniert und formatiert wurde, führt in den allermeisten Fällen zum Zerstören des Dateisystems.

Zum eigentlichen Problem: zunächst wäre mal interessant, ob du einen TrueCrypt-Dateicontainer oder eine vollständig verschlüsselte Partition hattest (was hast du unter TrueCrypt ausgewählt, "Select Device" oder "Select File").
 
Ersteinmal vielen Dank Jungs und ein Mädel für die vielen Antworten Freitag abend und Samstags, die mich auch weiterbringen.
Ich hab mich jetzt mit dem Gedanken beschäftigt, dass das Leben auch weitergehen muss, ohne die Dateien. Hoffe immer noch, dass der Fall nicht eintritt.
@In0cenT Habe eine Firma gefunden die das für 250 € anbietet.

@SovereignJBM mit getdataback (geliehen) erstelle ich gerade ein Image unter NTSF. Hab extra ein neues externes Samsungdings mit 1TB gekauft.

@QuantenWalli Nicht, dass ich viel Geld hätte, nur nebenbei gesagt. Wenn es nicht anders geht muss ich es einschicken. In jedem Fall wäre es teurer die Dateien neu zu machen, als eine Widerherstellung zu bezahlen. Aber im Grunde ist es als würde die Wohnung abbrennen. Das kann man nicht neu kaufen. Ich mache auch nur die Sachen an dem Laufwerk, wo ich mir sicher bin.

Eine Truecrypt Sicherung habe ich leider nicht gemacht, weil ich dachte auf der externen Festplatte ist alles sicher.

@Fiona Ja der Simpson474 ... Um ehrlich zu sein, habe ich mich hier bei computerbase nur angemeldet, weil Simpson der einzige im deutschsprachigen Raum war, der etwas über Truecrypt Ahnung vermitteln kann. Und weil er dieses Testcrypt geschrieben hat.

@Simpson474 da bin ich froh dass du dich meldest.
Gut .... zum eigentlichen Problem: Deine Frage war "zunächst wäre mal interessant, ob du einen TrueCrypt-Dateicontainer oder eine vollständig verschlüsselte Partition hattest (was hast du unter TrueCrypt ausgewählt, "Select Device" oder "Select File")"

Das war ein Dateincontainer , also keine vollständig verschlüsselte Partition.
Hab noch die Schlüsseldatei und ein Kennwort aber keine Sicherung des Headers gemacht.
Dann ist doch jetzt die nächste Frage wie ich testCrypt in die Lage versetzen kann mit der falschen schnellformatierung 128GB von XP umzugehen? Oder wie ich die wieder wegbekomme die XP Formatierung.
Im Grunde sitze ich jetzt ja an XP. Und die neue Festplatte von Samsung hat 1TB. Kann ich mit XP damit überhaupt ein funktionierendes Image von 500 GB erstellen? Müßte ich jetzt nicht mit Windows7 und Getdataback (geliehen) arbeiten?
Windows7 habe ich ja schon installiert. Nur ist es da so leer. Müßte ich nicht Testdisk unter Windows7 laufen lassen?


Nebenbei ...
Dann war das gut, dass ich das mit den 128 GB geschrieben habe. Da geht mir auch ein Licht auf.
Denn ich hatte zum Schluss mit Windows7 gearbeitet.
Da das aber abgestürzt war, verwendete ich das noch vorhandene XP mit den installierten Programmen und allem Mailkonten.
Das XP erkannte dann die ca. 596 GB nicht und brachte mir die Fehlermeldung. Dabei dachte ich es sei die kaputte interne zweite Maxtor mit den Sicherungsdateien. Da fällt mir auch auf dass die ja auch 300 GB hatte.
Jetzt klickerts ... ich habe nämlich das XP immer noch manchmal verwendet um zu Scannen. Weil mein guter voll funktionsfähiger Canon Scanner keinen Treiber für Windows7 hat.
Erklärbar ist jetzt auch dass Testcrypt nichts gefunden hat, weil es nur die Schnell formatierung von XP 128GB sieht.
Da das Sinn macht, heißt es auch, dass die Festplatte 'mechanisch' gesehen noch funktioniert. Demnach könnte die Maxtor auch noch funktionieren und ich könnte mir das Windows7 wieder mit den Programmen wiederherstellen.
 
Zuletzt bearbeitet:
Versuch beim Dateicontainer zunächst wirklich mal GetDataBack (Option "Systematischer Dateisystemschaden) bzw. R-Studio - die Möglichkeiten, wenn beide Programme fehlschlagen sind leider sehr beschränkt. TestCrypt wurde hauptsächlich für verschlüsselte Partitionen entwickelt - im Gegensatz zu Dateicontainern können diese nicht fragmentiert sein. Man kann noch Versuch mit TestCrypt machen (und diese haben sogar schon mal funktioniert, häufiger jedoch nicht), falls die normalen Datenrettungsprogramme hier wirklich nicht weiterkommen.
 
@Simpson474
Guti das macht Hoffnung.
Hab jetzt mein 'Image brennen' mit Gedataback abgebrochen, weil ich mit XP arbeitete. Und mache mit Windows7 weiter. Und lass da das Image schreiben. Damit ich was zum experimentieren habe.
Danke. Ich melde mich morgen Abend oder Montag Mittag wieder.
 
Zwischenbericht:
Das Programm Scavenger 3.2 findet inzwischen viele richtige Dateinamen. Bei vielen steht Good dahinter. Es läuft noch / pro 1% Suche, ca. 10 Minuten ... bei mir. Gefunden mehr als 78000 Dateien. Klingt gut.

Eingestellt habe ich alle Dateien (mein Truecryptcontainer hatte keine Dateiendung) und 'lange Suche'.

Bei den Programmen
testdisk , R-Studio und Getdataback
ist es für mich als informatikfremder Endbenutzer (Dummie) nicht ersichtlich, wie ich ohne Gefahr die MFT bzw. oder die Schnellformatierung von XP wegbekommen kann.
Alle drei gehen davon aus, dass das XP Format (MFT) von 128 GB richtig ist.
Und Sie suchen auch nur darin etwas. Als Laie erkläre ich mir das so, als würde man über ein 3Ländereck eine neue Karte stanzen und fragen, wo die Schweiz ist.

Es gibt zwar die Möglichkeit die Sektorenmenge anzugeben, aber wie soll ich als Laie herausfinden was richtig ist, wenn nur sich nur auf die 128GB bezogen wird.
Dementsprechend findet testdisk unter Analyse nur Teilbereiche wieder, die zufällig in den 128 GB vorhanden aber logischerweise unvollständig sind.

Der Tathergang muss so gewesen sein.
Das eine zweites internes Laufwerk Maxtor (auf dem meine Systemsicherungsdateien lagen kam nicht mit Windows7 klar.
Die SystemSicherungsdateien auf Maxtor waren damit weg.
Das Windows7 stürzte ab und ich musste es neu installieren in eine zweite Partition des PC-Laufwerks.
Durch die Neuinstallation schrieb das windows7 auf dem externen Laufwerk mit 596GB eine neue MFT.
Erklärung
(Das ist das Laufwerk, um was es mir geht mit meinen Arbeitssachen die in einem Container Trycrypt liegen.)
Weil das nackte Windows7 für mich zum Arbeiten unbrauchbar war, öffnete ich das alte XP. (auf dem selben PC-Laufwerk erste Partition, auf dem auch das windows7 (zweite Partition) liegt.)
Das XP kam dann aber nicht mit der neuen MFT vom externen Laufwerk 596GB von Windows7 klar und gab mir das Schild
'Laufwerk kann nicht erkannt werden, wollen sie das Laufwerk fragmentieren 128GB?
Hier passierte die Verwechselung. Denn das externe hat keine 128GB. Also konnte es nur das kaputte Maxtor sein. Was der Denkfehler war.
Ich überlegte gut 20 Sekunden, ob es nicht das gerade eben installierte windows7 auf der zweiten Partition gemeint ist und verglich die Laufwerksbuchstaben. Und entschloss mich dann zur Schnellformatierung.
 
Ich hab im Moment gerade kein GetDataBack da (aufgrund von Windows 8 Installation als Hauptsystem, irgendwie muss man ja mal versuchen mit Metro zu arbeiten), aber normalerweise sollte man in GetDataBack nicht nur Partitionen, sondern auch ganze Festplatten auswählen können. In diesem Fall sollte GetDataBack wirklich alles analysieren und nicht nur die ersten 128 GB. Du kannst zunächst auch mal File Scavenger fertig analysieren lassen, vielleicht schafft es ja das Programm auch schon.
 
Zu früh gefreut.
Die vielen Daten kommen von der C: die ich auf der Externen gelöscht hatte. Das sind nur Namen.
Kann mir nicht vorstellen, dass die Daten weg sind. Aber gefunden ist dort wohl nichts.
Vielleicht kann jemand was hiermit anfangen:
Soweit bin ich mit meinem Latein am Ende.




Das zeigt mir R-Studio




Sieht so aus, als würde das Forum spezieller geeignet sein. Das Thema Truecrypt und Schnellformatierung .... http://forums.truecrypt.org/viewtopic.php?t=24744
 
Bei R-Studio hast du scheinbar noch keine Analyse laufen lassen und der Screenshot von GetDataBack fehlt mir auch noch. Ich würde zunächst wirklich GetDataBack probieren, hatte bei mir bisher immer die besten Ergebnisse. Wenn du nicht genau weißt, was du auswählen sollst, so kannst du ja einen Screenshot von den problematischen Seiten machen.
 
Die Analyse von R-Studio



Das Grundproblem ist, dass die Wiederherstellungsprogramme Daten suchen antstatt das Laufwerk insgesamt zu laden.
Die Daten von Trycrypt sind aber irgendwie randomisiert und haben für die Wiederherstellungsprogramme keinen Inhalt. werden immer als undefiniert angegeben. Ich müsste nur wissen von wo der Container Trycrpt anfängt und wo er aufhört. Er ist nicht versteckt.
die Leute bei truecrypt schreiben, man muss mit winhex oder encase an die Sache gehen. Habe eben schon mit Winhex nachgesehen und die undefinierbaren bereiche sind tatsächlich vollgeschrieben.
Kann man nicht irgendwie von dem Laufwerkshersteller so MFT Daten oder ähnliches bekommen und die hinein kopieren?
Ich will so eine Kopie herstellen. Aber jedes Programm hat seine eigenen Endungen: *.arc oder img oder dd.


So Analysen dauern ja auch immer 11 Stunden.
Getdataback hat "nur" gelöschte Musikdateien gefunden.
Mehr noch hat Scavenger gefunden ganze avi Filme. Die können beide nicht mit Truecrypt umgehen.

Bei Winhex steht auf dem Laufwerk im Text oben
"Fehler beim Lesen des Laufwerks. Bootmanager fehlt." Bootmanager komprimiert.
Habe eben 10 GB testweise mit Winhex als *.img exportiert und Isobuster versucht gerade was zu finden.
So dann werde ich mit Winhex eine Kopie als img starten. (Voraussichtlich 10 Stunden. Das wird erst morgen früh wieder fertig sein.
Danke für deine Teilnahme Simpson474



In der Sofortübersicht zeigt Getdataback das hier:

Ergänzung ()

Ich lass jetzt Getdataback doch noch mal von Windows7 und nicht XP aus durchlaufen. Letztes Mal hatte ich ja XP verwendet.
Ergänzung ()

Getdataback hat jetzt fast alle normalen Daten gefunden. Den Truecryptcontainer leider nicht. Ein kleiner Bereich war rot. Vielleicht liegt da der Anfang von Truecrypt. Lasse es jetzt nochmals genauer durchlaufen.
 
Zuletzt bearbeitet:
Also Getdataback hat alle Dateien 49 GB gefunden Ausser die Truecryptdatei.
@Simpson474 Was meinst du mit Screenshot? Da sieht man außer Ordner ja nicht viel. Unten ist so ein Schnappschuss der Daten.
Also mein USB Laufwerk hat 596 GB davon waren ca. 40 GB frei und ca 46 GB könnten wiederhergestellt werden. Dh. das Truecrypt Volumen hat tatsächlich ca. 500 GB. Wie ich mich jetzt so durchgelesen habe, muss ich mit Winhex den Anfang und das Ende finden.

Als nächstes werde ich endlich eine Kopie herstellen. Hab schon mal in Winhex reingeschaut und eigentlich kann das nicht so schwer sein die Truecypt zu finden.
Ich weiß nur noch nicht, was das bedeutet der 'Anfang' ...

SELECTED|
+--------+
Physikalische Laufwerke
4. Festplatte 596 GB (HD131:)
Name: HD131:
Laufwerkstyp: Physikalisches Laufwerk (4. Festplatte)
Geometrie: 77825 Zylinder * 255 Köpfe * 63 Sektoren
LBA-Sektoren: 1.250.263.728 (596 GB)
Zugriffsart: LBA-Modus
+----------+
|SELECTIONS|
+----------+
Drive: 4. Festplatte 596 GB (HD131:)
Window info: Sektoren 0-1.250.263.727
Entire drive: True
FromSector: 0
ToSector: 1250263727
ExcessiveSearch: True
FileSystemDesc: NTFS (NT)
Template:
+--------------+
|ACTIVE OPTIONS|
+--------------+
Excessive search: WAHR
Default recovery dir: E:\BACKUP\getdataback
Default temp dir: C:\Users\mw\AppData\Local\Temp\
DiskExplorer path: C:\Program Files (x86)\FreeCommander\FreeCommander.exe
Recover deleted files:FALSCH
Allow duplicates: FALSCH
Recover lost files: WAHR
Bad sector strategy: Wiederholen
Use valid MFT only: FALSCH
Quick scan: FALSCH
Excluded files:
+---------+
|SCAN INFO|
+---------+
Directories identified: 322
Files identified: 28671 Starts, 19146 Benutzerdef.
MFT entries: 84571, 3 $MFT
Boot sectors: 3
Classification: Blocks 0-1250263727, 27980(2441922) lists, 6.995 KB, [1250150497,0,0,0,0,28671,3,322,84571,0,0,0,0,0,0,0]
SectorSpace: SECTOR SPACE, 28791 entries
ClusterSpace: CLUSTER SPACE, 69697 entries
BootSectors: 3
FSList: 6
SelectedFSItem: (none)
RecoveryTree: (none)
+----------------+
|FILE SYSTEM LIST|
+----------------+
1) NTFS bei Sektor 63, Cluster-Größe 8 (596 GB)
Name: NTFS
Cluster0: 63
Cluster-Größe: 8
Sektoren total: 1.250.258.561
1. Mft-Cluster: 786.432
1. MftMirr-Cluster: 78.141.160
Mft-Eintrags-Größe: 1024
Index-Puffer-Größe: 4096
Cluster total: 156.282.320
Min Cluster benutzt: 156.282.320
Max Cluster benutzt: 156.282.320
Mft-Ursprung: Uneindeutig
Erstellt am: 15.04.2009
Datenübereinstimmungen: 485
Debug-Info: B1!
2) NTFS bei Sektor 63, Cluster-Größe 8 (596 GB)
Name: NTFS
Cluster0: 63
Cluster-Größe: 8
Sektoren total: 1.250.263.665
1. Mft-Cluster: 786.432
1. MftMirr-Cluster: 78.141.160
Mft-Eintrags-Größe: 1024
Index-Puffer-Größe: 4096
Cluster total: 156.282.958
Min Cluster benutzt: 156.282.958
Max Cluster benutzt: 156.282.958
Mft-Ursprung: MftMirr
Erstellt am: 15.04.2009
Datenübereinstimmungen: 485
Debug-Info: M1
3) NTFS bei Sektor 6.187.352, Cluster-Größe 1 (32,0 GB)
Name: NTFS
Cluster0: 6.187.352
Cluster-Größe: 1
Sektoren total: 67.108.863
1. Mft-Cluster: -1
1. MftMirr-Cluster: -1
Mft-Eintrags-Größe: 1024
Index-Puffer-Größe: 4096
Cluster total: 67.108.863
Min Cluster benutzt: 32.312.685
Max Cluster benutzt: 67.108.863
Mft-Ursprung: Uneindeutig
Erstellt am: ?
Datenübereinstimmungen: 14
Debug-Info: C14
4) NTFS bei Sektor 0, Cluster-Größe 8 (128 GB)
Name: NTFS
Cluster0: 0
Cluster-Größe: 8
Sektoren total: 268.435.454
1. Mft-Cluster: 786.432
1. MftMirr-Cluster: 2
Mft-Eintrags-Größe: 1024
Index-Puffer-Größe: 4096
Cluster total: 33.554.431
Min Cluster benutzt: 33.554.431
Max Cluster benutzt: 33.554.431
Mft-Ursprung: Uneindeutig
Erstellt am: 06.06.2012
Datenübereinstimmungen: 6
Debug-Info: B2!
5) NTFS bei Sektor 0, Cluster-Größe 8 (128 GB)
Name: NTFS
Cluster0: 0
Cluster-Größe: 8
Sektoren total: 268.435.456
1. Mft-Cluster: 786.432
1. MftMirr-Cluster: 2
Mft-Eintrags-Größe: 1024
Index-Puffer-Größe: 4096
Cluster total: 33.554.432
Min Cluster benutzt: 156.282.966
Max Cluster benutzt: 33.554.432
Mft-Ursprung: Uneindeutig
Erstellt am: 06.06.2012
Datenübereinstimmungen: 6
Debug-Info: M2
6) NTFS bei Sektor 6.291.440, Cluster-Größe 8 (128 GB)
Name: NTFS
Cluster0: 6.291.440
Cluster-Größe: 8
Sektoren total: 268.435.456
1. Mft-Cluster: 786.432
1. MftMirr-Cluster: 2
Mft-Eintrags-Größe: 1024
Index-Puffer-Größe: 4096
Cluster total: 33.554.432
Min Cluster benutzt: 33.554.432
Max Cluster benutzt: 33.554.432
Mft-Ursprung: MftMirr
Erstellt am: 06.06.2012
Datenübereinstimmungen: 0
Debug-Info: M1
+--------------------------------------------------+
|STEP 2 => STEP 3 |
+--------------------------------------------------+
+----------+
|SELECTIONS|
+----------+
Selected file system entry: 1) NTFS bei Sektor 63, Cluster-Größe 8 (596 GB)
+--------------+
|ACTIVE OPTIONS|
+--------------+
Excessive search: WAHR
Default recovery dir: E:\BACKUP\getdataback
Default temp dir: C:\Users\mw\AppData\Local\Temp\
DiskExplorer path: C:\Program Files (x86)\FreeCommander\FreeCommander.exe
Recover deleted files:FALSCH
Allow duplicates: FALSCH
Recover lost files: WAHR
Bad sector strategy: Wiederholen
Use valid MFT only: FALSCH
Quick scan: FALSCH
Excluded files:
Using valid volume MFT with 84496 entries
 
Das sieht nicht wirklich gut aus, zumal ein 500 GB TrueCrypt-Container auf einer 600 GB Partition garantiert fragmentiert ist. Es gibt also keine einfache Möglichkeit, den Anfang und das Ende des Containers im Hex-Editor zu finden, da es mindestens zwei Teile gibt. Versuch noch einmal GetDataBack und aktiviere die Optionen "Excessive search", "Recover lost files" und "Recover deleted files".
 
Ich geb die Hoffnung nicht auf, weil ich viele Dateien aus dem Root finde, die unbeschädigt sind und die unverschlüsselt vor dem Container in Ordnern lagen und sich bei Stichproben wiederherstellen lassen. WMV PDF, Txt JPG mpg Habe viele Fernsehaufnahmen vor dem Container gehabt.
Unten ist ein Scan von R-Studio. über die Sektoren. Für mich sieht das noch nicht zerstört aus.
Darunter das Bild was die USB Platte in Sektoren aufteilt nach der Volumeninformation. Nach meiner Erinnerung gab es keine Sektoren. Das hat die XP Schnellformatierung hinzugedichtet.
Für mich als Laie sieht das noch gut aus.

Und deshalb meine nächste Frage:

Ich weiss jetzt wieder, wie mein Truecrypt Container hieß: Laufwerk_O
Exakt so, ohne Endung wie .tc Und die Datei lag in keinem Ordner. Der Pfad war so E:\externes\Laufwerk_O

Dieses Wort kann doch nicht verschlüsselt sein. Weil es immer sichtbar war. Es muss doch irgendwo liegen, wenn nichts kaputt ist.
Kann ich das Wort Laufwerk_O nicht mit einem HEx Editor oder Winhex finden? Flexhex stürzt mir aus unbekannten Gründen immer ab. Ich frage weil es immer eine Nacht dauert, bis mir ein Programm eine Antwort liefert.
1 Vollständigkeitshalber ...jetzt erst ein Bild von R studio, wie es offiziell die inzwischen (*.img) sieht ...
2 und dann ein Bild nach dem zweiten Scan der Sektoren.
Dabei ist zu sagen, dass die Mitte auch aus Dateien besteht. Die Lücke ist nur entstanden, weil ich den zweiten begrenzten Scan vor dem Ende in der Mitte abgebrochen habe.
3 Das dritte Bild zeigt Daten, die es eigentlich nicht zeigen dürfte aus dem Truecrypt Container! Die waren verschlüsselt! Es stimmen die Ordner, Namen und Größen, und das Datum auch. Aber nur diesen einen Ordner. Der mir im übrigen auch der wichtigste ist.
Trotz der 90% Wahrscheinlichkeit, dass ich diese Daten nie wieder retten kann und trotz, dass meine Getippe hier überflüssig sein könnte, finde ich die Frage berechtigt, warum gerade dieser Ordner in seiner Struktur richtig dargestellt werden kann. Er lag bestimmt seit Jahren nicht mehr vollständig neben dem Truecryptcontainer. Wie kommt er in irgendein Rootverzeichnis? Ich kann mich nicht erinnern, dass ich vor kurzem ihn selber kopiert haben sollte. Viele Dateien sind auch von 2002. Muss ich jetzt zum Arzt? Kann mich nicht erinnern. Zuzutrauen wäre es mir. Aber dann hätte ich sie auf dem völlig zerstörten zweiten Maxtor Laufwerk gesichert.

Na guti die Bilder:
1

2

3



Getdataback ... ich weiss nicht ... I' dont get it.
Das zeigt mir fast goar nix an. Kann an mir liegen oder daran, dass Getdataback zufällig den falschen Trick anwendet. Jedes Programm scheint seine Tricks zu haben. Und jeder Fall ist anders.
Aber warum wurde gerade der leere Ordner von Gedataback gefunden und alle anderen vollen Ordner nicht?
Also man weiss bei Getdataback nicht, wer die Daten back gegettet bekommt: Get databack oder Getdata back. Da scheint eine Hand die andere zu getback'ken. Das ist so eine 'unentschieden' Schlaufe mit einprogrammiert. Habe bisher einmal den Normalfall durchlaufen lassen, und den Systemschaden einmal auf XP und auf Win7. Ich werde es nochmal mit der super dümmst dämmlichen Totalverlust Vorausschau versuchen. Aber ich glaube die Leute von Getdataback kennen sich mit dem Supergau nicht so aus.

Es zeigt mir nur den leeren Ordner 'verschieben' an. Und der war auch leer, weil ich vorher mpg-Fernsehinterviews auf die kurz danach abstürzende interne zweite Maxtorplatte geschoben habe. Wonach das Desaster los ging. Schuld war vielleicht ein virales Interview von Phoenix.

Ich sollte mir so einige forensische Spezialärtzinnen suchen. Ich weiß nur noch nicht was ich dann untersuchen lassen muss. Das externe auf Laufwerk oder das interne.
Was mich wundert ist, dass ich im ganzen Internet keine polizeilichen Stellungnahmen zu dem Thema truecrypt gelesen habe. Die haben doch nicht etwa keinen einzigen Hauseigenen Hacker, der sich mit dem Thema beschäftigt? Ist das nicht fahrlässig? Habe nur eine einzige forensische PDF gefunden in der auf 400 Seiten nur einmal das wort truecrypt vorkommt. In dem Programm Encase ist die Dateiendung .tc noch nicht einmal als Standard vorgesehen. Na vielleicht haben die auch eine eigene Version.
 
Sind gelöschte Daten, die man mit Winhex sehen kann eventuell >> neue Daten? Welche, die man bei einem systematischen Dateischaden zwar nicht zuordnen kann, aber doch von einer neuen Datei gekommen sind?
Würde ich, wenn ich die gelöschten Daten mit 00 überschreibe (mit winhex) eventuell den truecryptcontainer überschreiben, den ich finden will? Die sogenannte $MFT verweist auf eine bestimmte Stelle der Festplatte, soweit ich verstehe. Und wenn dieser Verweis alt ist, dann kann doch da bereits die neue Datei sein, die ich suche.

Was ich als Datenrettungsplan demnächst vorhabe, ist die vorhandenen rettbaren Dateien mit 00 zu überschreiben bis nur noch der Truecryptcontainer übrigbleibt. Dann kann ich sehen, ob der Container wirklich in viele Stücke fragmentiert ist oder sich eine oder 2 große Datein finden.
Nun dazu müßte ich wissen, ob ich die in der Datenrettung (getdataback) als gelöscht angegebenen Daten auch löschen kann, oder ob sie vielleicht zum Truecryptcontainer gehören.

Wenn ich mir die gelöschten Daten ansehe, dann sehen sie alle wie Randomdaten - also wie ein Truecryptcontainer- aus.
Andererseits weiß ich, dass der eine Ordner, der mir so wichtig ist, für einige Tage unverschlüsselt >>neben dem Truecryptcontainer gelegen hat, weil ich ihn zwischenparken wollte, um ein Backup auf einem anderen Laufwerk zu sichern. Und der Container lief da noch. Das würde meine Frage beantworten, weil es keine Randomdaten sein können. Nur bin ich mir nicht sicher, ob ich den Ordner nicht 2 mal , also einmal auch vor der Truecrypt installation auf dem Laufwerk hatte und später daneben.

So was ist noch passiert.... Sieben Monate sind vergangen und ich bin fahre gerade also fort meine Daten doch noch zu retten.
Inzwischen kenne ich mich etwas mit Winhex aus. Außer, wie man bytes in Offset umrechnet.
Testdisk verstehe ich auch langsam. Warum ich damit nicht weiter komme ist, dass ich herausgefunden habe, dass mein kaputtes Laufwerk beim Kauf ein Fat32 System hatte. Und vermutlich auch der Testcryptcontainer auf Fat32 lief. Deswegen will ich auch kein NTSF Boot dingens neu schreiben.
Den randomblocklocator und tchunt bekomme ich nicht zum laufen. Ich nehme an das hat was mit XP zu tun. Das Fenster öffnet sich und schließt gleich wieder. Auch wenn ich als Administrator die exe öffne.
Testcrypt habe für einen 1GB großen USBStick versucht. auf der ich weiß dass dort ein kleiner Container liegt für Passwörter. Aber Testcrypt hat werder die richtige Größe noch den genauen Ort gefunden.

Die nächste Idee war im Netz eine Random Datei zu finden, die keine 00 00 00 00 enthalten. Ja gibt es. Nur irgendwo mittendrin ist immer doch noch eine 00 00 00 00. Und das sieht genauso zufällig aus wie die anderen Zufallsrandomdaten davor und dahinter. Das kann ich später noch weiter versuchen.
vorerst wollte ich große Dateien mit 00 überschreiben, die in jedem Fall kein Truecryptcontainer sind. Weil die Suche von einer 00 00 00 00 zu anderen dauert immer ein paar Stunden.

Ja und dann habe ich geübt vorhandene Container zu zerstören und zu retten. Den Header wieder herzustellen. Oder ganze Bereiche einer Truecrypt datei zu löschen. Geht ganz hervorragend.
Ja übrigens ... den Namen vom Verzeichnis 'Laufwerk_O' habe ich 96 mal mit Winhex gefunden. Also muss auch was vorhanden sein.
Nur verstehe ich die cryptischen Einträge nicht. Das wird so eine Art Logfile sein. Vermutlich steht da wo die Datei ist oder wie sie fragmentiert ist. Habe aber im Netz nichts gefunden, was das erklären würde. Ein Hinweis gab es zu Encase. Ein Forensisches Programm. Aber das ist teuer und das umsonst gefundene Program bei mir geht nicht. Das ist auch nichts anderes als Winhex in chick. Was man mit dem Editor lesen kann, läßt sich eben auch in einem teuren Programm lesen ... oder so.
Und meine Emailadresse hier geht wieder.

Also gut ...
wäre nett, wenn mir jemand obige Frage beantwortet.
Danke, danke, danke .... im Voraus
 
GetDataBack Rettungsversuch

martin567 schrieb:
So was ist noch passiert.... Sieben Monate sind vergangen und ich bin fahre gerade also fort meine Daten doch noch zu retten. Ja und dann habe ich geübt vorhandene Container zu zerstören und zu retten. Den Header wieder herzustellen.


Hallo Martin,


was ist der aktuelle Stand deines Datenrettungsversuchs?


Ich habe exakt das gleiche Problem: auf 2,5'' externe 640GB Intenso Festplatte kann nicht mehr zugegriffen werden und auch ich hantiere derzeit mehr oder weniger ungeschickt mit GetDataBack herum. Vielleicht kannst du mir da ein Heimspiel verschaffen, indem du kurz auf die Do's und Dont's verweist?
 
Hallo, ja ich habe Hoffnung. Habe einen Randomblock gefunden. Jetzt brauche ich nur noch ...
Also für dich das wichtige steht im übernächsten Absatz ... aber... ich vorher muss ich doch kurz sagen ..
Kurz das hat mich wieder so mitgenommen und gefreut, dass ich, wo ich den Block gefunden habe, es erst einmal verschoben habe weiter zu machen. Jetzt habe ich das Problem, dass ich mich da wieder hinein denken muss, was wieder sicher 3 Tage in Anspruch nimmt. Eigentlich muss ich mich um einen Job kümmern und umziehen soll ich auch, weil meine Wohnung verkauft werden soll und mein Geld ist alle für den Umzug. Alles so eine S....ss.

Also Get data Back findet nur, was normal ist und eine Endung hat. Aber Randomdata die irgendwo liegen erkennt das nicht.
Als erstes erstellst du eine 100 % Kopie deines Laufwerks her, als zB img Datei. Damit kannst du arbeiten, wenn dein Laufwerk mechanisch kaputt ist. Meins ist zum Glück nicht mechanisch kaputt.
Dann... gebe hier im Forum als Suchbegriff GZipBlockLocator ein .. da findest du alles. Erst einmal musst du etwas finden. mit dem Randomblockding Dabei findest du den Anfang und den Endpunkt.
den GZipBlockLocator und wendest den auf die Kopie an oder das kaputte, wenn es nicht mechanisch kaputt ist. Also du musst das als Laufwerk laden oder GZipBlockLocator von Simpson474 (bei dem ich mich noch bedanken muss, wenn alles gut geht) und tchunt TChunt musst du mit Administratorrechten öffnen (rechte Maustaste) ... Der nächste Schritt ist dann ... jetzt fällt mir ein, warum ich das verschoben habe, Du brauchst ein zweites leeres Laufwerk derselben Größe oder Größer und schreibst den Block mit Linux auf das neue Laufwerk. Das neue Laufwerk hat dann keinen Systemschaden mehr und dadurch soll Truecrypt den Anfang der Randomdatei oder das Ende finden und entschlüsseln können. Wie gesagt, den letzten Schritt habe ich selber noch nicht gemacht. Hört sich aber logisch an. Bei dem zerstörten Laufwerk, also einer zerstörten mbr oder wie das heißt, wo drin steht, wo alles liegt, findet Truecrypt nichts. Wenn man nun den Block auf ein neues Laufwerk schreibt kann Truecrypt wieder den Header finden oder die Sicherung am Ende.

Ist etwas durcheinander wie ich das schreibe .. aber suche nach Simpson474 oder Randomblock oder GZipBlockLocator ...Bis du das fertig hast ist eh eine Woche vorbei. Bis dann
 
Zurück
Oben