Truecrypt verschlüsselte Systempartition weg

[kadajawi]

Hallo,
erst mal die Vorgeschichte, vielleicht ist da ja irgendwas wichtiges dabei. Ich habe im Notebook eine Truecrypt verschlüsselte Festplatte, die gesamte Platte ist als Systemplatte verschlüsselt worden (on the fly), die Partition ist NTFS. Beim defragmentieren gab es einige Probleme mit Dateien die sich nicht verschieben lassen, und chkdsk hat ständig Fehlermeldungen ausgeworfen. Ich habe die Festplatte dann in meinen Desktop eingebaut und das Samsung ESTool drüber laufen lassen.

Soweit so gut, das ESTool hat keine Fehler gefunden.
Beim Versuch den Rechner (Windows 7 RC, auf dem Notebook war Vista) zu starten und via TrueCrypt (6.1a und 6.2a) die Platte zu mounten sah ich die Festplatte in Form von Harddisk 0, size 232 GB. Keinen Laufwerksbuchstaben. Die Platte ausgewählt, Mount options "mount partition using system encryption ..." ausgewählt (musste ich beim externen Betrieb einer anderen Systemplatte schließlich auch tun) und Passwort eingegeben. Dann kommt:
"No partition selected.
Click 'Select Device' to select a dismounted partition that normally requires pre-boot authentication (for example, a partition located on the encrypted system drive of another operating system, which is not running, or the encrypted system partition of another operating system).
Note: The selected partition will be mounted as a regular TrueCrypt volume without pre-boot authentication. This is useful e.g. for backup or repair operations."
Wenn ich mount partition using system encryption weg lasse kommt nur ein "Incorrect password or not a TrueCrypt volume."

Habe mir dann mit WinHex den Anfang der Platte angesehen. Die Platte im Desktop sieht ok aus, aber die Notebookplatte sieht so aus:

Offset       0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F

000000000   9C 10 3F 02 50 8C FF 01  79 1F 6F 1F 75 1F 20 1F   œ.?.PŒÿ.y.o.u. .
000000010   68 1F 61 1F 76 1F 65 1F  20 1F 61 1F 6E 1F 79 1F   h.a.v.e. .a.n.y.
000000020   20 1F 71 1F 75 1F 65 1F  73 1F 74 1F 69 1F 6F 1F    .q.u.e.s.t.i.o.
000000030   6E 1F 20 1F 61 1F 62 1F  6F 1F 75 1F 74 1F 20 1F   n. .a.b.o.u.t. .
000000040   45 1F 53 1F 54 1F 4F 1F  4F 1F 4C 1F 2C 1F 20 1F   E.S.T.O.O.L.,. .
000000050   43 1F 6F 1F 6E 1F 74 1F  61 1F 63 1F 74 1F 20 1F   C.o.n.t.a.c.t. .
000000060   75 1F 73 1F 20 1F 76 1F  69 1F 61 1F 20 1F 68 1F   u.s. .v.i.a. .h.
000000070   74 1F 74 1F 70 1F 3A 1F  2F 1F 2F 1F 77 1F 77 1F   t.t.p.:././.w.w.
000000080   77 1F 2E 1F 73 1F 61 1F  6D 1F 73 1F 75 1F 6E 1F   w...s.a.m.s.u.n.
000000090   67 1F 68 1F 64 1F 64 1F  2E 1F 63 1F 6F 1F 6D 1F   g.h.d.d...c.o.m.
0000000A0   19 99 01 00 8C 94 1F 03  3C AB 4E 00 B1 07 B1 07   .™..Œ”..<«N.±.±.
0000000B0   B1 07 B1 07 B1 07 B1 07  B1 07 B1 07 B1 07 B1 07   ±.±.±.±.±.±.±.±.
0000000C0   B1 07 B1 07 B1 07 B1 07  B1 07 B1 07 B1 07 B1 07   ±.±.±.±.±.±.±.±.
0000000D0   B1 07 B1 07 B1 07 B1 07  B1 07 B1 07 B1 07 B1 07   ±.±.±.±.±.±.±.±.
0000000E0   B1 07 B1 07 B1 07 B1 07  B1 07 B1 07 B1 07 B1 07   ±.±.±.±.±.±.±.±.
0000000F0   B1 07 B1 07 B1 07 B1 07  B1 07 B1 07 20 38 20 38   ±.±.±.±.±.±. 8 8
000000100   20 38 20 38 20 38 20 38  20 38 20 38 BA 3F 20 00    8 8 8 8 8 8º? .
000000110   20 00 B1 07 B1 07 B1 07  B1 07 B1 07 B1 07 B1 07    .±.±.±.±.±.±.±.
000000120   B1 07 B1 07 B1 07 B1 07  B1 07 B1 07 B1 07 B1 07   ±.±.±.±.±.±.±.±.
000000130   B1 07 B1 07 B1 07 B1 07  B1 07 B1 07 B1 07 B1 07   ±.±.±.±.±.±.±.±.
000000140   B1 07 B1 07 B1 07 B1 07  B1 07 B1 07 B1 07 B1 07   ±.±.±.±.±.±.±.±.
000000150   B1 07 B1 07 B1 07 B1 07  B1 07 B1 07 B1 07 B1 07   ±.±.±.±.±.±.±.±.
000000160   B1 07 B1 07 B1 07 B1 07  B1 07 B1 07 B1 07 B1 07   ±.±.±.±.±.±.±.±.
000000170   B1 07 B1 07 B1 07 B1 07  B1 07 20 38 20 38 20 38   ±.±.±.±.±. 8 8 8
000000180   20 38 20 38 20 38 20 38  20 38 BA 3F 20 00 20 00    8 8 8 8 8º? . .
000000190   B1 07 B1 07 B1 07 B1 07  B1 07 B1 07 B1 07 B1 07   ±.±.±.±.±.±.±.±.
0000001A0   B1 07 B1 07 B1 07 B1 07  B1 07 B1 07 B1 07 B1 07   ±.±.±.±.±.±.±.±.
0000001B0   B1 07 B1 07 B1 07 B1 07  B1 07 B1 07 B1 07 B1 07   ±.±.±.±.±.±.±.±.
0000001C0   B1 07 B1 07 B1 07 B1 07  B1 07 B1 07 B1 07 B1 07   ±.±.±.±.±.±.±.±.
0000001D0   B1 07 B1 07 B1 07 B1 07  B1 07 B1 07 B1 07 B1 07   ±.±.±.±.±.±.±.±.
0000001E0   B1 07 B1 07 B1 07 B1 07  B1 07 B1 07 B1 07 B1 07   ±.±.±.±.±.±.±.±.
0000001F0   B1 07 B1 07 B1 07 B1 07  C1 97 01 00 B8 80 1F 03   ±.±.±.±.Á—..¸€..

Ich dachte da müsste der MBR drinnen stehen... das da sieht nicht nach MBR aus.

Testdisk findet eine FAT32 Partition, was mich verwundert und verunsichert. Schließlich verwende ich doch NTFS, und die NTFS Partition ist verschlüsselt.

Ich habe auch die TrueCrypt Rescue Disk, die findet aber auch keine Partition die sie booten kann. Was kann ich noch machen um an die Daten zu kommen? Backups sind zwar vorhanden, aber leider nicht ganz vollständig, die Fotos und Bearbeitungen der letzten 2-3 Monate fehlen, und die wären mir schon wichtig (sind ein paar tausend Stück und viele Stunden Arbeit).

Wäre nett wenn ihr mir helfen könntet.

 

[dani.boese]

Wäre im Datenrettungs-Forum besser aufgehoben
Dort wird dir sicherlich auch schneller geholfen.

 

[h3@d1355_h0r53]

In TrueCrypt klickst du doch "Select Device" an. Dort steht dann deine Platte ohne Laufwerksbuchstaben, z.B. "Harddisk 0: 200GB". Evtl. steht drunter noch die Partition der Platte (weiß nicht genau wie das ist mit Systemdisk in nem anderen Rechner ist...). Jedenfalls machen viele Leute den Fehler die Partition zu mounten was schlichtweg nicht funktioniert im Normalfall. Deswegen kommt auch "No partition found". Du musst das Laufwerk - also die gesamte Platte - einbinden, nicht die Partition.

Bei einer Defragmentierung kann es ganz normal sein, dass sich bestimmte Teile/Sektoren nicht verschieben lassen.

Die CHKDSK Fehler hingegen - keine Ahnung woher die kommen. Eventuell nippelt die Platte ab oder du hast davor schon irgendwas gemacht, was du besser hättest nicht machen sollen....

Generell hast du auch die TrueCrypt Backup CD, d.h. bevor ich irgendwas anderes über die Platte laufen lasse versuche ich doch erstmal damit was zu reißen ?! Dein MBR interessiert da recht wenig, der ist ja auf der CD drauf für solche Fälle. Und evtl. ist dieser auch so gemacht, dass das sicher ist und nicht so, dass jeder den einsehen kann... ist aber nur ne Vermutung

Ich würde die Platte in den Laptop einbauen und versuchen zu booten. Geht das nicht die Backup CD von TrueCrypt nehmen, dann solltest du wenigstens wieder nach einer Reparatur booten können und die Daten retten. Ansonsten Daten ade und nächstes Mal aktuelle Backups anfertigen. Alternativ 10-50 oder 100 Jahre warten bis eine deiner Verschlüsselungen evtl geknackt werden könnte falls wirklich alles kaputt ist...

TrueCrypt ist ja deswegen so genial, da nicht jeder "Depp" (sprichwörtlich, nicht du) an die verschlüsselten Daten rankommt. Eigentlich ist es ganz einfach wenn man gewisse Regeln befolgt.
Kann mir auch gut vorstellen, dass das Samsung Tool etwas zerschossen hat, selbst da steht in der Anleitung dass ein Backup der Daten angebracht ist vor Benutzung dieses Tools. Aber ich vermute eher wie im ersten Absatz angesprochen Fehlbedienung in TruCrypt.

 

[kadajawi]

Ja, ist mir dann auch aufgefallen Hatte nach Truecrypt Problemen gesucht und dann irgendwie ein Thema unter Sicherheit gefunden, und auch nicht weiter aufgepasst.

Gibt neues zu meinem Problem.

Ich habe jetzt den Bootloader und den Volume Header restauriert, jetzt fängt der MBR mit einem TrueCrypt Bootloader an, das ist ja schon mal gut denke ich. Nur leider wird immer noch keine Partition gefunden. Aber als ich bei der TrueCrypt Rettungs CD die Decrypt Option angewählt habe konnte ich mit dem richtigem Passwort die Platte decrypten, also er hat damit angefangen. Ich habe es dann pausiert und abgebrochen, in der Hoffnung nicht zu viel kaputt zu machen, sollte es eine schlechte Idee gewesen sein. Aber heißt das wenn ich die Platte komplett decrypten lasse habe ich eine Truecrypt befreite Partition, von der ich dann z.B. mit GetDataBack die Daten retten kann?

Unter Windows die Platte zu laden geht immer noch nicht. Im Moment lass ich GetDataBack NTFS über die Platte laufen, wenn das mit dem Decrypten geklappt hat müssten ja denke ich zumindest ein paar Dateien (die halt in den bereits entschlüsselten Bereichen liegen) gefunden werden, oder? Habe nach vielleicht 10 MB oder so abgebrochen, aber der Anfang der Partition war defragmentiert.

 

[h3@d1355_h0r53]

Normal ist es kein Problem eine nur teilweise verschlüsselte Platte zu benutzen. Du kannst den Prozess jederzeit fortsetzen im Normalfall. Ich würde die Platte einfach komplett entschlüsseln lassen (ich weiß, dauert 2-10 Stunden). Dann eventuell checken (chkdsk Fehler nachgehen) und dann wieder verschlüsseln und v.a. dann noch eine NEUE Rescue CD erstellen (mit den neuen MBR/Header Daten).

Die Platte ist für andere Systeme als leer sichtbar bzw. nur unsortierter Datenmüll. Im Grunde hat die Platte gar keine Partitionen in diesem Zustand. Wie gesagt wenn du die irgendwo anders mounten willst musst du das Device (das Gerät, die Platte) anwählen und nicht Partition.

 

[kadajawi]

Danke schon mal für deine Antwort. Genau wegen den CHKDSK Fehlern, die einfach nicht weggehen wollten, wollte ich halt das Samsung Tool drüber laufen lassen. Ein Sektor wurde laut Smart Infos auch schon neu zugeteilt. Wüsste jetzt nicht was ich falsch gemacht habe.

TrueCrypt sieht unter Windows folgendes:
Harddisk 0 232 GB (die Notebook Platte)
Harddisk 1 232 GB (die Platte im Desktop)
\Device\Harddisk1\Partition1 C: 232 GB

Also habe ich Harddisk 0 angewählt, Partition anwählen geht ja nicht.

Mit der TrueCrypt CD habe ich eben schon hantiert, siehe meinen letzten Beitrag. Booten kann ich von der Platte gar nicht, weder im Desktop noch im Notebook, decrypten soll hingegen angeblich gehen. Meine Vermutung ist ja das einfach die Partitionsinfos fehlen, d.h. es wird nicht gefunden wo die Partition starten soll. Normal nicht so ein großes Problem, gibt es ja dafür Tools. Aber wegen TrueCrypt...

Klar steht da was von wegen Backup sollte gemacht sein usw., allerdings ging ich eher davon aus das im Falle eines Low Level Formats z.B. die Daten weg sind. Bei anderen Tools anderer Hersteller wird ja IIRC auch gewarnt, und da wird eben nicht mal eben der MBR mit überflüssigen Daten überschrieben. Kann mir sonst nicht vorstellen warum im MBR auf die Samsung Homepage hingewiesen wird, wo ich doch nur einen normalen Testlauf ohne überschreiben gestartet habe.

Was mich an TrueCrypt nervt ist das man halt auch mit Passwort und allem keinen Zugriff auf die Daten hat... das System ist einfach zu sicher.

Entschlüsseln lassen ist an sich kein Problem, aber wenn TrueCrypt unter Windows nix mehr von der Platte sieht und auch der Bootloader scheitert? Ich warte jetzt erst mal das Ergebnis von GetDataBack ab, theoretisch müssten ja ein paar Dateien (die ganz am Anfang der Platte) in Ordnung sein, wenn das entschlüsseln geklappt hat.

 

[Sensei21]

Habe nach vielleicht 10 MB oder so abgebrochen,

so vom verständnis her dürfte das das dümmste sein, was du gemacht hast: teilweise entschlüsseln (hab ich das richtig verstanden ?)

das beste wäre gewesen, dir eine zusätzliche platte zu kaufen und die verschlüsselte 1:1 mit ddrescue / dd auf eine andere zu kopieren und dann erst herumzuexperimentieren, die daten wieder herzustellen

denn damit hast du mehrere anläufe und kannst beim ersten mal nicht gleich alles kaputt machen

na jedenfalls noch viel glück, die im datenrettungsforum können dir sicher noch ein paar weghilfen anbieten

ich jedenfalls würd die finger von truecrypt lassen, wenn ich mich damit nicht 100% auskennen würd bzw. wüsste, dass es wirklich zuverlässig ist

je mehr ich darüber les, desto eher möchte ich lieber abstand davon halten ...

hier ist mir die verschlüsselung von linux aus viel lieber (ecryptfs, cryptsetup, etc. ...)

Normal ist es kein Problem eine nur teilweise verschlüsselte Platte zu benutzen.

++

ist eher anzustreben, wenn nur die daten geschützt sein sollen und das beim system nicht nötig ist

Was mich an TrueCrypt nervt ist das man halt auch mit Passwort und allem keinen Zugriff auf die Daten hat... das System ist einfach zu sicher.

???

was wäre denn der sinn von einer verschlüsselung, wenn sie einfach zu umgehen ist ?

wenn deine daten nicht so ge"sicher"t sein müssen, dann verschlüssele sie einfach in zukunft nicht mehr

 

[kadajawi]

Ja, das habe ich mir dann auch gedacht... Für den Kauf einer weiteren Festplatte fehlen auch irgendwo als Student die finanziellen Mittel. Ich ging davon aus das ich eine Fehlermeldung bekomme, und nicht dass der dann tatsächlich entschlüsselt.

Ich werde jedenfalls auch auf TrueCrypt verzichten, dann lasse ich die Daten lieber unverschlüsselt, bevor ich alles verliere.

 

[Sensei21]

sag / schreib das nicht !

wenn du den zeitlichen und nervlichen aufwand mit einkalkulierst, rechnet sich die neue platte jetzt und in zukunft allemal

 

[kadajawi]

Ja, schon. Naja, da war mal wieder der Geiz/die Ungeduld stärker als die Vernunft. Aber an sich ist das teilweise entschlüsseln für TrueCrypt kein Problem... hoffe ich zumindest. Ich kann ja später weiter entschlüsseln. Die Daten am Anfang der Partition sind sowieso nicht weiter wichtig, die haben zu Windows gehört.

Ergänzung (20. Juli 2009)

Es gibt neues. GetDataBack konnte eine Datei von Backblaze wiederherstellen, die Datei war definitiv verschlüsselt. Insgesamt konnten aus ca. 100-200 MB die eigentlich decryptet sein müssten allerdings nur 10 Dateien gerettet werden. Die Hoffnung ist aber nicht ganz verloren das ein fertig decrypten hilft.

Muss mal den Finanzchef fragen wegen neuer Festplatte, dann ziehe ich ein Image und probiere dann weiter, habe allerdings Angst das mir das auch was zerschießt, man hört ja nix Gutes von True Image. Vielleicht klappt es doch mit MBR restaurieren? Wird bei TrueCrypt auch der MBR verschlüsselt? Sollte der nicht ganz am Anfang sitzen? Ich verstehe die FAT32 Partition die bei Sektor 240975 anfängt nicht. Die war von Anfang an Klartext, davor ist eine Weile nix. Ist ein Dell Laptop, also war da dieses Mediadings und die Recoverypartition drauf, aber das habe ich soweit ich weiß komplett entfernt. Vielleicht hat die Partition auch was mit TrueCrypt zu tun?

Jetzt muss ich auch noch eine gute günstige Festplatte suchen. :-/ Mehr oder weniger als 1 TB machen ja finanziell keinen Sinn, taugt Hitachi inzwischen wieder?

 

[kadajawi]

Ich habe jetzt doch noch eine neue Platte gekauft, aber beim Versuch zu spiegeln scheiter ich. Die True Image Rettungs-CD weigert sich ganz einfach die Platte zu spiegeln, laut Hilfe Datei komme ich scheinbar nicht mal bis zum Auswahldialog wo ich das 100%tige kopieren der Festplatte auswählen kann. Statt dessen wird mir bei der Auswahl der Partition gesagt dass es nicht möglich ist eine komplett unpartitionierte Platte zu kopieren. Und nun? Gibt es eine Alternative abseits von Linux Live CD besorgen und dann dd nutzen?

 

[Fiona]

Teile mal mit, wie die Festplatte vielleicht unter Windows 7 in der Datenträgerverwaltung gelistet ist?

Viele Grüße

Fiona

 

[kadajawi]

Die Festplatte besitzt keine Partition, es wird darum gebeten die Festplatte zu initialisieren und entweder eine MBR oder eine GPT zu erstellen.

Habe mir über Nacht Parted Magic besorgt, da ist ja ddrescue dabei. Ich versuch es nun mal damit

 

[kadajawi]

Also, das Problem konnte ich jetzt durch decrypten der Festplatte lösen. Danach konnte GetDataBack die Daten wiederherstellen (scheint zumindest so... meine Lightroom Library scheint beschädigt, ansonsten scheint alles in Ordnung. Und vielleicht finde ichs an anderer Stelle wieder), evtl. wäre es auch möglich gewesen durch Testdisk die Partition selber zu retten, das habe ich jetzt nicht getestet.

Also, wenn jemand ein ähnliches Problem und die Rettungs CD haben sollte, dann zieht euch ein Backup und versucht das zu decrypten, auch wenn die Partition etc. fehlt. Es könnte funktionieren.