Need help to recover hidden volume
Open source disk encryption with strong security for the Paranoid
Brought to you by:
idrassi
Menu
▾
▴
I'll get right to the point, as to not waste anyone's time:
I created a veracrypt partition with a hidden volume and while copying stuff to the outer volume the partition got write protected from the inner volume protection. Long story short, I stupidly disabled the write protection because I was unable to delete the half written file (from the outer volume) otherwise.
Doing that apparently corrupted the inner volume. It mounts in veracrypt but I'm unable to open it in explorer and windows says it cannot detect a filesystem on the drive and asks me to format it.
I have already successfully restored the hidden volume header both from internal and external backup, so I'm kind of out of options at this point.
Any ideas what else to try?
Thanks
No one has any idea what to do? I've tried everything I can think of and I'm worried my data is gone forever...
Stefan,
wie gross ist das hidden volume im Vergleich zum Trägercontainer?
Hast Du ein Backup des Volumeheaders (geht im Verycrypt Menü)?
Kannst Du das Trägervolume noch mounten?
Last edit: Christoph Kopetzky 2020-09-18
Das gesamte Volumen ist 1,8tb, davon 250gb hidden volume. Ich hatte damals ein Backup des Headers erstellt. Das hidden volume lässt sich mounten, nur im Explorer nicht öffnen. Dort heißt es dann es wäre kein filesystem vorhanden und ich muss den Datenträger erst formatieren. Darüber hinaus habe ich noch nichts versucht aus Angst irgendetwas kaputt zu machen. Ich habe auch keine 2. Platte wo ich ein Image erstellen könnte.
Stefan,
wenn Du ein Backup des Headers (mit verstecktem Volume) hast, sollte ein Restore alles wieder ordentlich lauffähig machen. Evtl. sind Dateien futsch, dann recover...
Wenn Du allerdings hochsensible Dateien auf dem hidden volume hast, solltest Du irgendwie Dir eine 4 TB HDD holen/leihen und dann mit einem Tool, welches sektorweise ein Image erzeugen kann (ich habs mit Winhex gemacht) und dieses Image dann gleich auf die neue oder leere HDD erstellen. Anschließend mit OSFMount (kostenfrei) als logischer Datenträger einbinden und da dann das Restore ausprobieren. Wenn alles soweit erstmal funktioniert (also das Mounten mit Deinem Passwort) und Du kannst auf die Daten zugreifen, schauen ob alles da ist. Wenn nicht, Daten mit GetDataBack Pro (Trial installieren) recovern.
Das kannst Du alles auf dem OSFMount Volume ausprobieren...
Ich würde ehrlicherweise NUR auf dem OSFMount Volume experimentieren und recovern. Meine SSD, die ich so ähnlich teilüberschrieben hatte, habe ich während der ganzen Datenrettung gar nicht mehr gebraucht.
Nachdem ich fertig war habe ich meine SSD Daten auf eine neue Verycrypt verschlüsselte SSD kopiert und die alte mit Security Delete komplett gelöscht. Dann habe ich gemerkt, dass in den SMART Daten der SSD schon etliche Wear Leveling Fehler waren (größer als die Herstellertoleranz) und habe diese (war auch schon drei Jahre alt) entsorgt, da bei solchen Fehlern man in die Speicherzellen der SSD kein Vertrauen mehr haben kann...
Also letzendliche Empfehlung an Dich:
1) besorg Dir eine 4 TB HDD (ist nicht so teuer, als die wichtigen Daten zu verlieren)
2) DD-Image darauf erstellen
3) OSFMount aufn Rechner
4) DD-Image als virtuelle Disk mounten (Änderungen werden in einer separaten Datei gemacht! Falls Du Mist gebaut hast, brauchst Du nur diese Datei löschen und alle Änderungen sind weg! Ich kann dir das noch genauer schreiben, müsste aber meine Recovery HDD wieder ausm Schrank kramen)
5) Recover deinen Verycrypt header
6) GetDataback Pro Trial installieren (Lizenz kannst Du später kaufen, wenn es funzt)
7) Lets start :)
Chris
Danke Christoph für die ausführliche Nachricht!
Es wäre schon ein immenser Verlust, wenn die Daten weg wären...
Jetzt ist es ja so, dass sich das Volume ohne Probleme mounten lässt. Nur halt der Explorer mächte es nicht öffnen. Gibt es denn keinen anderen Weg einfach an die Daten zu kommen? Sie können ja schließlich nicht weg sein. Den Header hatte ich ja schon bereits sowohl aus dem internen, als wie auch externen Backup wiederhergestellt, an ihm kann es wohl nicht liegen.
Hast du da eine Idee, warum Windows das eingespielte Volumem nicht öffnen möchte?
Vielen Dank
Stefan, Du solltest Dir mal meinen Thread durchlesen. Da wirst Du viele Erklärungen finden, auch im folgenden Link:
https://www.wilderssecurity.com/threads/truecrypt-missing-partition-table.336671/
Dort steht viel, wie Du testen kannst, ob das Restore des Headers auch die Dateisysteminfos korrekt wiederherstellt. Im Normalfall sollte das so sein, wenn Du den Backupheader auf die richtige Partition schreibst...
Deshalb lesen, anwenden, testen... ABER wenn möglich, nicht auf dem beschädigten System, es sei denn, Du weisst GENAU was Du machst...
Wie genau das mit den hidden Volumes funktioniert, habe ich nicht herausgefunden, da ich selbst solche Tricks nicht anwende. Mir langt eine verschlüsselte Partition. Die hidden Volumes sind dazu da, um Daten in einem verschlüsselten Volume zu verstecken. Diesen Aufwand muss man eigentlich nicht treiben, es sei denn Du wirst genötigt (warum auch immer), Deine Hauptpartition zu entschlüsseln und demjenigen, der das will, Deinen Hauptschlüssel zu geben. Dann hast Du vieleicht eine Chance, dass Sie die Hidden-Container-Datei nicht bemerken, wenn Du diese geschickt benannt hast und finden.
Einen anderen Sinn macht sowas m. E. nicht. Um Daten sicher aufzubewahren, langt das Anlegen EINER verschlüsselten Partition. Der Einsatz von hidden Containern verkompliziert die Sache, wie in Deinem Fall, nur.
Wenn Du den Backup Header zurückspielst musst Du peinlich darauf achten, dass die Partition so in Veracrypt erscheint, wie Du sie eingerichtet hast (siehe Bilder in meinem Thread)
Last edit: Christoph Kopetzky 2020-09-24
Danke für die Antwort,
das ist alles etwas zu kompliziert für mich, glaube ich. Ich habe mir beide threads vollständig durchgelesen. Also den Header hatte ich jetzt schon mehrmals wiederhergestellt, auch erfolgreich und konnte das hidden volume einspielen usw. nur halt das gleiche Problem wie du damals hattest, dass es sich nicht öffnen lässt.
Du hast Recht, ich sollte mir eine zweite Platte holen und mit einem Image arbeiten. Ich hatte mir überlegt zu versuchen, das hidden volume zu mounten, was ja funktioniert, und dann permanent entschlüsseln. Meinst du das würde funktionieren? Ich kann halt im Moment nichts ausprobieren, da ich nur direkt an der Problemplatte arbeiten kann...
MfG
Kurzes Update: Also mittlerweile habe ich mir eine 4tb Platte angeschafft und ein dd image erstellt.
Aber wie genau finde ich denn jetzt den Backup header? Vor allem, da es ja ein hidden volume ist. Und winhex scheint es auch nur als payware zu geben.