Veracrypt - USB Stick aus versehen neu formatiert mit Windows Schnellformatierung

Probiere 'Backup/Restore Header'. Du musst aber nicht komplett entschlüsseln.
 
Das ist ein interessanter Fall und ich wundere mich, dass du es soweit geschafft hast bisher. Aber ob du deine Daten zurück bekommst steht auf einem anderen Blatt. Ich bin mal gespannt, was du wiederherstellen kannst am Ende. Ob es jetzt die erhofften Daten sind oder irgendetwas anderes... Weil ich befürchte, dass du am Ende nur Datenmüll erhälst nach der Recovery-Aktion. Vielleicht täusch ich mich ja auch, man soll ja nie sagen, dass man schon alles gesehen hat :)
Wenn du ein brauchbares Ergebnis erziehlst, dann sollte der Thread gepinnt werden bzw. in einem neuen Thread umgeschrieben und dann gepinnt werden und es wird dann erklärt wie man Daten aus einem Veracrypt/Truecrypt-Container wiederherstellt, wenn der betroffene Datenträger formatiert wurde. Grundvorraussetzung für alles ist, das man auch der wirkliche Eigentümer des Containers ist und aus diesem Grund die Zugangsdaten besitzt ;) Geht sich ja nicht darum, einen Container zu knacken.
Das interessante ist ja, dass man erstmal den Container entschlüsseln muss und dann an die Datenrettung geht... Weil du schriebst, dass du mit Veracrypt und deinen Zugangsdaten einen Container öffnen kannst. Also durch die Formatierung wurde nicht alles zerstört. Veracrypt erkennt den Container an sich. Im schlimmsten Fall hast du nach der Recovery-Aktion einen leeren Container?
 
Zuletzt bearbeitet:
Hallo zusammen,

mit Testdisk absolut keine Chance, es meldet, dass das Dateisystem beschädigt ist. Letzte Chance Photorec. Ich lass es gerade mal drüber laufen und berichte über die Ergebnisse. Zumindest hat es bis jetzt schon sehr viele Dateien gefunden. Anschauen werde ich mir die Dateien, sobald es vollständig durchgelaufen ist. Bin sehr gespannt was dabei rauskommt. Wenn ich tatsächlich noch brauchbare Dateien erhalte wäre dies sensationell!


1683960634775.png

Ergänzung ()

So sieht es jetzt danach aus, stolze 13 GB gerettet?! Jetzt wird es gleich ganz spannen bei der Analyse der Dateien.

1683961545486.png
 
Zuletzt bearbeitet:
Behält der die Dateinamen? Mit Rescue Pro und Testdisk hatte ich Ergebnisse, da hiessen die Dateien dann 0001.file, 0002.file,...,1473.file etc
 
Hallo an alle,

das Ergebnis ist erstaunlich positiv: es konnten zahlreiche Dateien gerettet werden! Darunter Word-Dokumente, PDFs, Bilder, Videos, Audiodateien. Die Dateinamen waren bei jedoch fast allen Datein verschwunden, was jedoch nicht dramatisch ist, wenn man froh ist, dass man überhaupt noch etwas retten konnte. Jedoch sind genau 3 Excel-Dokumente (.xlsx) nicht mehr auffindbar. Ob sie vielleicht doch noch irgendwo sind mit einer anderen Dateiendung kann ich nicht ganz ausschließen, wie könnte man sie noch finden? Insgesamt gibt es wohl auch eine große Menge sehr kleiner Dateien, wobei ich auch weis woher diese wohl stammen, nämlich von diversen Programmen, die auf dem Stick waren. Ich habe einige der gefundenen Dateien stichprobenartig geöffnet, diese waren alle voll intakt, auch Videos und Audiodateien etc.

Ein kurzer Eindruck davon wie das gefundene Material beschriftet wurde. Insgesamt wurden von PhotoRec 4 Ordner erstellt.

1683967721297.png


1683967742180.png

1683967753798.png

1683967762434.png

1683967769128.png



Vielen Dank für all eure Hilfe!
 
  • Gefällt mir
Reaktionen: oelmiene, Col. Jessep und Oli_P
Erstaunlich. Das mit den fehlenden Dateinamen hab ich befürchtet. Aber wenigstens scheinen richtige Datei-Endungen gezeigt zu werden. Macht die Recherche dann was einfacher. Sind die Dateien denn noch in Ordnung? Kannst du so ne MP4-Datei öffnen und die wird korrekt abgespielt? Oder wird die Excel-Datei richtig angezeigt?
Ich hab nicht viele solcher Datenrettungsaktionen machen müssen. An einmal kann ich mich erinnern. Da war mir vor Jahren eine externe Festplatte kaputt gegangen und ich hatte tatsächlich keine Kopie der Daten. Hatte dann Get Data Back genutzt. Der hatte viel wiederhergestellt und sogar die Ordner-/Dateinamen und Ordnerstrukturen behalten. Nur manche Dateien waren kaputt danach, hielt sich aber in Grenzen. Die Festplatte war auch nicht verschlüsselt.
 
Zuletzt bearbeitet:
nutrix schrieb:
Wenn du willst können wir das noch separat besprechen, ich kann dazu an anderer Stelle dir noch Schritt für Schritt zeigen wie ich es gemacht habe.
Ergänzung ()

Oli_P schrieb:
Erstaunlich. Das mit den fehlenden Dateinamen hab ich befürchtet. Aber wenigstens scheinen richtige Datei-Endungen gezeigt zu werden. Macht die Recherche dann was einfacher. Sind die Dateien denn noch in Ordnung? Kannst du so ne MP4-Datei öffnen und die wird korrekt abgespielt? Oder wird die Excel-Datei richtig angezeigt?
Ja, Audiodateien laufen fehlerfrei, ebenso Videos. Die Excel-Dateien welche ich auf dem Stick hatte, konnte ich bisher leider nicht mehr finden. Die Größe dieser Excel kann ich jedoch noch ziemlich genau angeben mit ca. 19-20 KB.
 
Dann kannst du ja nach Dateigröße sortieren und findest vielleicht schneller was. Die Dateien, die du geöffnet hast, waren vor dem Datengau in diesem Veracrypt-Container?
Ist schon interessant. Man hat einen Veracrypt-Container auf einem USB-Stick, welchen man versehentlich formatiert und kann diesen trotzdem wiederherstellen.
Und wenn du PhotoRec laufen lässt über den USB-Stick, ohne den Container zu entschlüsseln. Was passiert dann? Hast du dann eventuell den Container in seiner Ursprungsversion zurück? Oder findet PhotoRec dann nix?
 
Nochmal alle Schritte kurz zusammengefasst.

Ausgangslage:

  1. USB-Stick war mit VeraCrypt verschlüsselt (Kein hidden Volume, Backup Header vorhanden, Passwort bekannt)
1683968612121.png


2. Windows Schnellformatierung FAT32
3. Windows Schnellformatierung NTFS
4. Überschrieben mit 173 MB (8 PDF-Dokumente)

Lösungsschritte:

  1. Mit dem Win32DiskImager (https://sourceforge.net/projects/win32diskimager/) eine 1:1 Kopie des fälschlicherweise formatierten Sticks/Datenträger erstellen (erst Image erstellen, dann Image auf einen anderen Datenträger laden, mit dem dann die Rettungsversuche unternommen wurden).
  2. Die 1:1 Kopie mit VeraCrypt wieder entschlüsseln (öffnen wie gewohnt, jedoch mit dem Unterschied use backup header)
    1683968948867.png
  3. Mit PhotoRec einen Datenrettungsversuch auf dem entschlüsselten Datenträger durchführen.
Ergänzung ()

Oli_P schrieb:
Dann kannst du ja nach Dateigröße sortieren und findest vielleicht schneller was. Die Dateien, die du geöffnet hast, waren vor dem Datengau in diesem Veracrypt-Container?
Ist schon interessant. Man hat einen Veracrypt-Container auf einem USB-Stick, welchen man versehentlich formatiert und kann diesen trotzdem wiederherstellen.
Und wenn du PhotoRec laufen lässt über den USB-Stick, ohne den Container zu entschlüsseln. Was passiert dann? Hast du dann eventuell den Container in seiner Ursprungsversion zurück? Oder findet PhotoRec dann nix?
Sehr guter Punkt, ich lasse es später mal noch laufen ohne Entschlüsselung mit VeraCrypt. Dann dürfte aber nichts gefunden werden außer den 8 PDFs, welche fälschlicherweise auf den Stick unverschlüsselt kopiert wurden.
 

Anhänge

  • 1683968530990.png
    1683968530990.png
    19,7 KB · Aufrufe: 66
  • Gefällt mir
Reaktionen: oelmiene und Oli_P
Oli_P schrieb:
Behält der die Dateinamen? Mit Rescue Pro und Testdisk hatte ich Ergebnisse, da hiessen die Dateien dann 0001.file, 0002.file,...,1473.file etc
Das ist bei reinem File Carving (wie von all deinen genannten Tools verwendet) technisch nicht möglich. Dafür müsste die Software nach Resten eines ehemals vorhandenen Dateisystems suchen und die Dateinamen von dort rekonstruieren.
Ergänzung ()

$$mg92$$ schrieb:
Ob sie vielleicht doch noch irgendwo sind mit einer anderen Dateiendung kann ich nicht ganz ausschließen,
Dann nehm ich dir das ab: Photorec erzeugt neue Dateiendungen, je nach erkanntem Format. Es ist ausgeschlossen, dass hinter einer einer wiederhergestellten mp4-Datei eine xlsx-Datei (oder Zip, was das eigentliche Format ist) steckt. Was mir aber auffällt: Es ist nicht eine einzige Zip-Datei gefunden worden. Hattest du den Dateityp nicht mitausgewählt?
 
  • Gefällt mir
Reaktionen: Oli_P
$$mg92$$ schrieb:
Sehr guter Punkt, ich lasse es später mal noch laufen ohne Entschlüsselung mit VeraCrypt. Dann dürfte aber nichts gefunden werden außer den 8 PDFs, welche fälschlicherweise auf den Stick unverschlüsselt kopiert wurden.
Vermute ich auch, aber einen Versuch wärs wert. Kannst ja verschiedene Dinge gefahrlos probieren, weil du eine 1:1 Kopie vom USB-Stick gemacht hast. Hast du nun wirklich Dateien gefunden, die du unbedingt zurück haben wolltest?
 
Jaein. Für mich wäre immernoch interessant, welche Datein konnten nicht mehr wiederhergestellt werden. Ich kann nicht mehr mit Sicherheit sagen was alles auf dem Stick war.

Im Prinzip war nur eine einzige Datei, nämlich die neueste Excel-Datei von Bedeutung, diese konnte ich bisher nicht finden. Von dieser Excel habe ich ein Backup, das ist jedoch veraltet, ich hatte es quasi schon auf meiner TO-DO Liste ein neues Backup davon zu erstellen, was sich jetzt jedoch vorerst erübrigt hat.

Insgesamt kann ich sagen, viele Daten von dem Stick könnte ich mit viel Aufwand auch wieder neu beschaffen auf anderem Wege, was sich jedoch wahrscheinlich nicht lohnt. Jedenfalls war es eine sehr lehrreiche Erfahrung. Daraus werde ich Schlüsse ziehen.
 
Also welche Dateien nicht wiederhergestellt werden konnten, wirst wohl nicht in Erfahrung bringen können denke ich. So Datenwiederherstellung ist so ne Sache... du kriegst zurück was du zurück kriegst. Ob es das war, was du finden wolltest ist eine andere Sache. Backup, Backup, Backup und dieses natürlich immer aktuell halten :)
 
Zuletzt bearbeitet:
Hallo nochmal,

ich vermute die Excel-Datein doch gefunden zu haben. Ich hatte auf dem Stick 3 passwortgeschützte Exceldokumente. Gefunden habe ich zwei Word-Dokumente mit je 18 KB Größe, welche passwortgeschützt sind. Ist es möglich, dass es sich dabei um die Excel-Dateien handelt? Leider kommt jedoch eine Fehlermeldung beim Versuche diese nach Eingabe des Passworts kommt es zu Fehlermeldungen. Auch ein Umbennenen mit der mutmasslichen Dateiendung .xlsx hilft nicht.

13-05-2023_14-36-13.jpg


UPDATE: ERFOLG!

Ich habe jetzt noch zwei Word-Dateien gefunden, die exakt den Kritereien der Excel-Dateien entsprechen, welche ich gesucht habe (19 KB Größe). Beide Word lassen sich nur durch Eingabe eines Passworts öffnen. Ich konnte die Excel-Dateien folgendermaßen wiederherstellen:
1. Umbenennen mit Original-Dateinamen und .xlsx Dateiendung.
2. Eingabe des Passworts zum öffnen des geschütztden Dokuments, somit war das Original wiederhergestellt.
13-05-2023_15-09-20.jpg
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Oli_P
Wirklich erstaunlich. Ich hätte gedacht, dass durch Formatierung ein Veracrypt-Container zerstört würde. Aber offensichtlich sind die ziemlich wiederstandsfähig :) Okay, du hast eine Schnell-Formatierung gemacht. Ob das auch noch gehen würde, wenn du eine richtige Formatierung machst? Und was wäre, wenn im Container nochmal ein versteckter Container ist?
 
$$mg92$$ schrieb:
Nochmal alle Schritte kurz zusammengefasst.

Ausgangslage:

  1. USB-Stick war mit VeraCrypt verschlüsselt (Kein hidden Volume, Backup Header vorhanden, Passwort bekannt)
Wobei hier mir immer noch unklar ist, wie Du es geschafft hast, diese Stick zu verschlüsseln. Mir gelingt es mit der aktuellen Version von VeraCrypt (1.25.9) nicht. Was auch nicht klar ist, was für eine Partition hier dahinter ist (einfache bzw. primäre oder erweiterte).
Ok, ich habe zu kompliziert gedacht, ich habs hinbekommen. Du hattest VORHER eine bereits erstellte Partition. Sprich, FAT32 war drauf, und dannn hast Du einfach diese Partition verschlüsselt. Das funktioniert dann anders mit SSD oder HDD, wo eine RAW Partition leer ist und nicht mal eine Partition enthält, und TC/VC dann verschlüsselt. In dem Fall hättest Du nichts rekonstruieren können.

Genau so habe ich SSDs wie HDDs verschlüsselt. Hier dann vom OS nicht mal ein Dateisystem erkannt.
1684008835403.png


$$mg92$$ schrieb:
Die 1:1 Kopie mit VeraCrypt wieder entschlüsseln (öffnen wie gewohnt, jedoch mit dem Unterschied use backup header)
Das war jetzt hier die Rettung, daß dieser noch gefunden werden konnte, so daß die Entschlüsselung permanent aktiv blieb. Gut, daß Du auf mich nicht gehört hast und weiter probiert hast.
$mg92$ schrieb:
[*]Mit PhotoRec einen Datenrettungsversuch auf dem entschlüsselten Datenträger durchführen.
Was bedeutet, daß VeraCrypt doch nur schönde sein Dateisystem nach der Entschlüsselung durchreicht. Wieder was gelernt. Ich hätte vermutet, das hier mehr passiert.
Oli_P schrieb:
Wirklich erstaunlich. Ich hätte gedacht, dass durch Formatierung ein Veracrypt-Container zerstört würde. Aber offensichtlich sind die ziemlich wiederstandsfähig :) Okay, du hast eine Schnell-Formatierung gemacht.
Die Schnellformatierung geht nur an die ersten Datenblöcke des Datenträgers, setzt die Directory Table zurück, und läßt die darunter liegenden Strukturen intakt. Wenn man dann byteweise einfach durchrutscht, findet man die Dateifragmente wieder. Und das ist ja, was ich meinte. Wenn Truecrypt die Dateistruktur einfach nur schnöde 1:1 durchreicht, und die Datenblöcke nur verschlüsselt, dann ist klar, warum es funktionierte. Der Backup Header lag im Bereich, wo die Schnellformatierung nicht ranging, und wenn VC den auch selbst wieder finden kann, haben die bei TC/VC gut mitgedacht.

https://veracrypt.eu/en/VeraCrypt Volume Format Specification.html

Embedded Backup Headers
Each VeraCrypt volume contains an embedded backup header, located at the end of the volume (see above). The header backup is not a copy of the volume header because it is encrypted with a different header key derived using a different salt (see the section Header Key Derivation, Salt, and Iteration Count).
When the volume password and/or PIM and/or keyfiles are changed, or when the header is restored from the embedded (or an external) header backup, both the volume header and
Oli_P schrieb:
Ob das auch noch gehen würde, wenn du eine richtige Formatierung machst?
Das geht definitiv nicht mehr, weil alle Datenstrukturen auf dem Datenträger zurückgesetzt werden.

Interessant wirds nun, ob das mit Dateien bzw. Containern dann genauso gut funktioniert.
 
Zuletzt bearbeitet:
Hab solche Probleme nie gehabt mit meinem Truecrypt-Container. Aber ist interessant zu lesen, man weiss ja nie was einem passieren kann. Wenn mein Truecrypt-Container kaputt gehen würde... ja, wär lästig. Aber ich würd mir nicht die Mühe machen, die Daten zu rekonstruieren. Nur das zurückkopieren der Daten ist lästig. Das dauert ne Weile :)
 
Ich habe gerade bei mir mal einen Test mit einer 256GB SSD gemacht.
  • RAW ohne jede Partition verschlüsselt
  • FAT verwendet mit AES und SHA-512
  • 3 Dateien
    • 2 PDF
    • 1 Txt-Datei 2k groß
  • Danach "aus Versehen" per Datenträger eine primäre Partition erstellt und ebenso mit FAT32 formatiert
Erwartungsgemäß kann ich mit dem Backup Header den Datenträger wieder einhängen. Aber die Daten sind bei mir Müll, und weder PhotoRec noch EaseUS Data Recovery Wizard Pro findet die Dateien nicht mehr.
 
Zuletzt bearbeitet:
Du kannst jetzt mit einem Hexeditor (z.B. 010Editor oder Winhex) die Dateien untersuchen. Meist reicht ein "Runterrasseln", also schnelles durchblättern der Daten, um z.B. große 0x00 Blöcke zu identifizieren, die evtl. defekt sind. Oder Du schaust dir die Kopfdaten der Dateien an, falls falsch identifiziert wurde. Auch kannst Du selbst nach Mustern auf dem ganzen Diskmage suchen (z.B. Textpassagen oder eigene Muster, die man aus anderen Dateien "abgeguckt" hat.).
 
Ich habe das nun mit einer vorpartitioniertem und mit FAT32 formatierten USB-Stick nachgestellt, wo ich dann normal über VC dann die Partition verschlüsseln konnte. Hier die gleichen Daten und Vorgehen wie oben. Das Laufwerk kann ich - nach dem erneuten Formatieren mit FAT32 - über Backup Header einhängen. Aber Dateirettung auf diesem eigehängten Dateisystem ist wieder mit 2 verschiedenen Programmen erfolglos.

Daher, $$mg92$$, Glückwunsch, das Glück war hier mit Dir, ich kann hier simuliert nicht mal 3 einfache Dateien wieder herstellen.
 
  • Gefällt mir
Reaktionen: Nutzerkennwort
Zurück
Oben