yakini
Goto Top

Truecrypt ?mountet? nicht vorhandenes Volume - Abhilfe gesucht

Hallo,

vielleicht hat jemand eine Idee:

Ich habe hier ein System (Win7 Ultimate SP1) mit mehreren HDDs. Ein paar davon sind mit Truecrypt verschlüsselt. Andere z.B. die Systemplatte nicht.

Eine HDD (1TB) war früher mal komplett mit TC verschlüsselt und enthielt ein hidden Volume.

Die Platte soll nun als normales unverschlüsseltes Laufwerk unter Windows verwendet werden. Partition wurde gelöscht, Platte wurde formatiert (nicht schnell) und hat jetzt einen Laufwerksbuchstaben und funktioniert völlig normal. Enthält auch Daten. (alles unverschlüsselt)

Soweit die Fakten. Nun zum Problem:

Wenn ich alle vorhandene Truecrypt Laufwerke zusammen mounte, dann "mountet" TC dieses alte Device mit. Das heißt, in der Liste der gemounteten Laufwerke steht
der frühere (!) Laufwerksbuchstabe. (Hier zum Beispiel L)

L: Device Harddisk 4\Partition0 950GB AES hidden

Windows "sieht" das Laufwerk L, kann aber nicht darauf zugreifen, weil es meint, es müsse erst formatiert werden.

Nun frage ich mich, was Truecrypt da mountet und wo es die Informationen dazu hernimmt.

- TC habe ich deinstalliert und neuinstalliert - hat nix genützt
- die Partition auf der Platte habe ich gelöscht, neu angelegt, formatiert - hat nix genützt

Im Prinzip sind durch dieses seltsame Verhalten von TC keine Daten in Gefahr. aber es nervt, wenn die Laufwerksbuchstaben der übrigen Laufwerke nicht mehr stimmen, weil da nun ein Volume zu sehen ist, das gar nicht existiert.

Die Kernfrage ist, wie kann Truecrypt mit dem korrekten Passwort ein Volume mounten, dass es gar nicht mehr gibt, auch wenn das Volume letztlich nicht verfügbar ist und was kann ich dagegen tun.

Danke für Hilfe

yakini

Content-ID: 217261

Url: https://administrator.de/contentid/217261

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

DerWoWusste
DerWoWusste 18.09.2013 um 17:58:53 Uhr
Goto Top
Hi.

Fragen nach dem "Warum" sind meist umsonst. Wir haben es hier mit hochkomplexem Datenmüll zu tun, wenn Du mich fragst.

Kannst Du dieses Laufwerk nicht in Truecrypt löschen? Ich müsste selbst schauen, woher TC die Info nimmt - von der Platte? Dann müsstest Du sie mit "diskpart clean" schrubben können. Aus einer ini/Registry? Sollte auffindbar sein.

Workaround: Mounten per Skript.
yakini
yakini 18.09.2013 um 18:02:41 Uhr
Goto Top
Zitat von @DerWoWusste:


Kannst Du dieses Laufwerk nicht in Truecrypt löschen?
..ich wüsste nicht wie... ?



Workaround: Mounten per Skript.
..ähm.... hab ich noch nie gemacht... kannst du das erklären?
bytecounter
bytecounter 18.09.2013 um 18:06:26 Uhr
Goto Top
Hallo,

Truecrypt legt für die Konfiguration Dateien unter %APPDATA%/TrueCrypt an. Meines Wissens nach sogar im XML-Format. Diese wurden bei der Deinstallation vermutlich nicht gelöscht. Du kannst mit dem Hauptprogramm aber Favoriten bzw. Automount-Einstellungen vornehmen - dort dürfte Dein totes Laufwerk hinterlegt sein.

vg
Bytecounter
yakini
yakini 18.09.2013 um 20:30:10 Uhr
Goto Top
nein.. das wars auch nicht - der Ordner unter AppData ist leer und Favoriten sind und waren keine angelegt..

hab jetzt noch mal die Partition gelöscht... also ich denk auf der Platte kann da nix mehr von TC stehen....

für heute leg ich das Problem beiseite.... muss erst mal weg...
C.R.S.
C.R.S. 18.09.2013 aktualisiert um 21:06:13 Uhr
Goto Top
Das liegt daran, dass eine Partitionierung und Formatierung nie die Bereiche umfasst, in denen TC bei Disk-hosted Volumes Volume-Header und Backup-Volume-Header ablegt. Das Problem kann durch Partitions-Hosting vermieden werden.

Jetzt können entweder die Passwörter/Keyfiles entzogen werden, die es ermöglichen, den Hidden-Volume-Header zu entschlüsseln. Ansonsten wären die Bereiche zu identifizieren und zu nullen, welche die Header enthalten. Grundsätzlich sind das für Hidden-Volumes 64kbyte ab Offset 65536 und die letzten 64kbyte der Disk. Bei herstellerspezifischem Alignment der Disk und abhängig vom Zugriff beim jetzigen Löschen weicht das ggf. ab.

Grüße
Richard
DerWoWusste
DerWoWusste 18.09.2013 um 23:52:36 Uhr
Goto Top
Mach noch mal das empfohlene diskpart clean: cmd (elevated) ->diskpart ->list disk ->select disk x ->clean
Skriptsyntax (falls dann noch Bedarf): http://www.truecrypt.org/docs/command-line-usage
yakini
yakini 19.09.2013 um 14:33:08 Uhr
Goto Top
...derwowusste wusste es... face-smile

also Problem gelöst...

...diskpart clean hat das Problem gelöst...

Wer mit hidden Volumes hantiert sollte das vielleicht im Hinterkopf behalten. Unter Sicherheitsaspekten kann ein vergessenes "clean" dann darauf hindeuten, dass da mal ein hidden Volume war. Und eine der Hauptgründe für hidden Volumes ist ja die glaubhafte Leugnung... z.B. unter der Gesetzgebung in UK...

Danke für die Hilfe... immer wieder eine Freude hier Problem zu lösen, ganz ohne dumme Kommentare oder Nebensächlichkeiten....
C.R.S.
C.R.S. 19.09.2013 um 15:10:54 Uhr
Goto Top
Zitat von @yakini:
Wer mit hidden Volumes hantiert sollte das vielleicht im Hinterkopf behalten. Unter Sicherheitsaspekten kann ein vergessenes
"clean" dann darauf hindeuten, dass da mal ein hidden Volume war.

Nicht wirklich, weil ohne diskpart clean die Volume-Header in den ersten und letzten 128 kbyte der Disk insgesamt (weitestgehend) erhalten bleiben und die Teilbereiche der Hidden-Volume-Header immer mit Zufallszahlen gefüllt sind. Die Disk ist nicht von einer ehemals nur vollverschlüsselten zu unterscheiden.
Unter Sicherheitsaspekten nutzt auch ein diskpart clean nichts, weil es die Backup-Header stehen lässt. Die Verfügbarkeit zusätzlicher Header zu denselben Passwörtern beschleunigt Angriffe.